Wie sicher sind Standard-Benutzerkonten bei Malware?

[Flitzpiepe]

Liebes Debian-Forum,

folgendes Szenario: ich (Admin) richte auf Debian Wheezy zwei Standard-Benutzerkonten (A und B) ein. Nun fängt sich Benutzer A auf einer manipulierten Seite über Firefox Malware ein (z.B. per drive-by). Inwieweit ist es Malware möglich, von Benutzer A auf das komplette System überzugreifen? Ist der Account von Benutzer B auch "in Gefahr"? Was kann oder muss ich als Admin in solchen Fällen besonders beachten?

Liebe Grüße von

Robert!

[Radfahrer]

Standard!!! Mit d!!! am Ende!

Standard

Eine Standart ist eine Art zu stehen. Z.B. auf einem Bein, auf den Händen, usw..
Oder die Art eines Standes, z.B. ein Limonadenstand oder ein Marktstand.

HerrGottnochmalsoallmählichsolltesdochjederwissengrummelgrummelgrummel....

Zu deiner Frage:
Eigentlich sind die Nutzerdaten voneinander getrennt. Nutzer A hat also keinen (zumindest keinen schreibenden) Zugriff auf die Daten von Nutzer B.

[uname]

Erst mal war die Entscheidung für Debian ganz gut. Zudem könnte der Benutzer B der "Gruppe" Other kein Zugriff geben. Ist wohl dann 770 statt 775 (nicht nachgeschaut). Wären aber nur Leserechte und halte ich für eher unnötig.

[Flitzpiepe]

Liebe Forumsmitglieder,

Ihr habt recht, Standard natürlich mit "d" am Ende. Sorry, da ist mir gestern abend ein Flüchtigkeitsfehler unterlaufen. Ich habe den Fehler korrigiert (Thema-Überschrift und im Artikel).

Okay, dann wird Linux/Debian eine klar getrennte Benutzerverwaltung haben, wenn ein Übergreifen von Schadsoftware zwischen den Benutzerkonten eigentlich nicht möglich ist. Das ist beruhigend.

Viele Grüße von

Robert!

[Flitzpiepe]

Ich habe gerade folgendes festgestellt: Lege ich als root für zwei Benutzer (A und B) einen Standard-Account ein, dann haben A und B zumindest volle Leserechte, was Dateien im Ordner /home/[BENUTZER] des jeweiligen anderen Nutzers betrifft. A kann Dateien im Home-Verzeichnis von B lesen und umgekehrt ebenso.

Erst mal war die Entscheidung für Debian ganz gut. Zudem könnte der Benutzer B der "Gruppe" Other kein Zugriff geben. Ist wohl dann 770 statt 775 (nicht nachgeschaut). Wären aber nur Leserechte und halte ich für eher unnötig.

Wäre es denn möglich, einem Nutzer die Lese- und Schreibrechte soweit zu entziehen, dass er nur seine eigenen Dateien in seinem eigenen Home-Verzeichnis lesen (und dort schreiben) kann und keine anderen? Das wäre doch eigentlich sehr viel sinnvoller, vor allem bei mehreren Nutzern am Rechner.

Liebe Grüße von

Robert!

[habakug]

Hallo!

Wenn du etwas Englisch kannst, schau mal hier [1] rein. Das Standard-Verhalten von Debian kann beliebig aufgepimpt werden. Ich stimme dir zu das

The path into your home directory is not restricted, just as the path others can take to ring your bell at home is not restricted.

es mir auch etwas zuviel Offenheit ist, wenn in meinem Wohnzimmerschrank alles durchgesehen wird ob vielleicht eine Klingel dabei ist. Aber das lässt sich durchaus verbessern...

Gruss, habakug

[1] https://wiki.debian.org/UserPrivateGroups

[smutbert]

Damit Benutzer nicht einfach die Dateien anderer Benutzer lesen können, habe ich zwei Dinge unternommen:

• Die von adduser angelegten Home-Verzeichnisse sind von vornherein für andere lesbar. Das läßt sich in /etc/adduser.conf mit der Zeile DIR_MODE=xyz. xyz sind Berechtigungen in der oktalen Darstellung, hier im Ubuntuwiki steht recht übersichtlich, was die Zahlen bedeuten [1].
  
  Etwas einfacher fällt die Anpassung mit

  Code: Alles auswählen

  dpkg-reconfigure -plow adduser

  wo nur danach gefragt wird, ob die Benutzerverzeichnisse systemweit lesbar sein sollen.
• Die obige Maßnahme ändert aber noch nichts an den Rechten der später von Nutzern angelegten Dateien. Deren Rechte kann man durch den Wert von umask ändern. Diesen Wert gibt man wieder oktal an, nur dass hier die Werte nicht die Bedeutung von Rechten sondern von Verboten haben.
  Der Standardwert unter Debian ist 022, was bedeutet, dass der Besitzer alles darf. und die Gruppe und die alle anderen dagegen dürfen nicht schreiben.
  
  Ich halte hier den Wert 027 für wesentlich sinnvoller. Dann darf der Besitzer immer noch alles, die Gruppe darf nicht schreiben (also nur lesen und ausführen) und alle anderen dürfen gar nichts. Das mit der Gruppe finde ich besonders praktisch weil ich so durch die Gruppenzugehörigkeiten anderen Benutzern und Diensten lesenden Zugriff erlauben kann, zB mpd, damit er meine Musikdateien lesen kann.
  
  Den Wert könntest du einfach für jeden Benutzer einzeln in der ~/.profile festlegen, dort gibt es bereits eine auskommentierte Zeile, die man anpassen und aktivieren kann.
  
  Etwas umfassender und systemweit kann man es in der /etc/login.defs festlegen. Dort gibt es auch bereits eine Zeile, die den Wert eben auf 022 festsetzt, die ändert man einfach in

  Code: Alles auswählen

  …
  UMASK		027
  …

  Die Änderung an der login.defs greift allerdings erst, wenn man auch pam_umask aktiviert, dazu hängt man einfach folgende Zeile an die /etc/pam.d/common-session

  Code: Alles auswählen

  session optional	pam_umask.so

Zwei Kleinigkeiten bleiben allerdings immer noch:
Erstens ändert das nicht die Berechtigung der bereits vorhandenen Dateien und Verzeichnisse, man will also vielleicht manuell den "anderen" alle Rechte entziehen, zB mit

Code: Alles auswählen

chmod -R o-rwx /home/*

Zweitens ist der umask Wert nur eine Vorgabe, einzelne Anwendungen können immer noch die Rechte von Dateien verändern oder Dateien gleich mit anderen Rechten anlegen - konkretes Beispiel weiß ich allerdings keines, das ist also mehr ein theoretischer Einwand. Immerhin bedeutet das aber natürlich auch, dass die Benutzer selbst die Rechte ihrer Dateien ändern können.

[1] http://wiki.ubuntuusers.de/Rechte

[Flitzpiepe]

Ich danke ganz herzlich für die Antworten!! Die notwendigen Einstellungen lassen sich also durchführen. Das finde ich prima! Ich werde mich durchprobieren.

Mit einer kleinen Beobachtung meinerseits noch: Ich habe festgestellt, dass individuelle Ordner, die ein Benutzer (A) in seinem Home-Verzeichnis anlegt, ein anderer Benutzer (B) zwar in Nautilus sieht, aber nicht öffnen kann. (Am Ordner ist außerdem ein kleines X zu sehen.) Dateien, die in diesem Ordner sind, werden ebenfalls nicht angezeigt. Das betrifft allerdings nur Ordner, die vom jeweiligen Benutzer im Home-Verzeichnis neu (zusätzlich) angelegt werden.

Liebe Grüße von

Robert!

[uname]

Das liegt wohl daran, dass du Änderungen später durchgeführt hast. Durch die umask-Einstellungen, siehe als anlegender Benutzer

Code: Alles auswählen

umask

werden die Rechte gesetzt. Auf alte Ordner und Dateien hat das keinen Einfluss.

[Dogge]

Hallo!

Wenn du etwas Englisch kannst, schau mal hier [1] rein. Das Standard-Verhalten von Debian kann beliebig aufgepimpt werden. Ich stimme dir zu das

The path into your home directory is not restricted, just as the path others can take to ring your bell at home is not restricted.

es mir auch etwas zuviel Offenheit ist, wenn in meinem Wohnzimmerschrank alles durchgesehen wird ob vielleicht eine Klingel dabei ist. Aber das lässt sich durchaus verbessern...

Gruss, habakug

[1] https://wiki.debian.org/UserPrivateGroups

# 022 is the "historical" value in Debian for UMASK
# 027, or even 077, could be considered better for privacy

Vielleicht sollte man mal anregen den Standard auf 027 zu ändern. Ich finde defaults sollten nie auf "Scheunentor" eingestellt sein. Wer das möchte kann das ja einstellen. Aber dem unbedarften Anwender, der die Einstellung nicht kennt sollte man als Standardeinstellung mit etwas mehr Privatsphäre unter die Arme greifen. Ich kannte die Einstellung bisher auch nicht und hätte angenommen, dass per default Benutzerkonten unter Debian sauber getrennt sind.

Edit: @smutbert, Vielen Dank für deine Hinweise. Ich hab das ganze noch mal in meinen Blog geklopft, da das für mich eine Art Schmierzettel für Dinge, die ich wiederfinden will ist.

[Cae]

Zwei Kleinigkeiten bleiben allerdings immer noch:
Erstens ändert das nicht die Berechtigung der bereits vorhandenen Dateien und Verzeichnisse, man will also vielleicht manuell den "anderen" alle Rechte entziehen, zB mit

Code: Alles auswählen

chmod -R o-rwx /home/*

Das tut zugegebenermassen (auch) das Gewuenschte, aber mit -R wird auch die komplette Struktur in den jeweiligen $HOME-Verzeichnissen plattgebuegelt. Das will man wiederum ueberhaupt nicht, zum Beispiel fuer Backups, die nochmal an eine Stelle zurueckgespielt werden sollen, fuer die der Wert von others relevant ist. Ist mir gerade beim Rumklicken im zugehoerigen Blogpost aufgefallen (da stand -R 750, was erheblich unerwuenscht ist).

Gruss Cae