News

Nächste planmäßige Wartung:

Mittwoch, 4. Dezember 2019


ServicesFilePermissions

Beschreibung der Zugriffsberechtigungen, die auf den vorhandenen Nuzter-HOMEs eingestellt werden bzw, Beschreibung der Standard-Zugriffsberechtigungen, mit denen Nutzer-HOMEs am Fachbereich angelegt werden (einschließlich der Motivation für die gewählten Einstellungen/Beschränkungen).

Wir setzen für neu angelegte User bzw. Gruppen folgende Permissions:
  • /home/mi/$USER rwx------
  • /storage/mi/$USER rwx------
  • /group/$GROUP rwxrws---
  • /buffer/$GROUP ... (nach Absprache)

Organisatorisches Ziel

Ab 04.12.2015 setzen wir folgende Sicherheitsziele bei den Home-Verzeichnissen und Storage-Verzeichnissen um:

Die Nutzer-Home- bzw. Nutzer-Storage-Verzeichnisse selbst sollen aus Sicherheitsgründen
  • generell nicht schreibbar für die "Welt" (others) sein
  • nicht schreibbar für die Gruppe (group) sein (jedenfalls keinesfalls bei 'unüberschaubar großen' Gruppen wie students oder inf_institut)
  • Bei Schreib- oder Durchsuchungsrecht für die Gruppe oder für die Welt ohne gleichzeitiges Leserecht (-wx oder -w-) gehen wir von einer unbeabsichtigten Fehlkonfiguration aus, die in Richtung sichere Berechtigung (d.h. kein Zugriff für Gruppe bzw. Welt) korrigiert wird
  • keine Permissions aufweisen, die in Kombination mit ungünstigen untergeordneten Datei-/Verzeichnisrechten vermutlich unbeabsichtigten Lese-Zugriff auf nachgeordnete Dateien/Verzeichnisse ermöglichen könnten, wie es z.B. bei der Kombination "kein Lese-, wohl aber Durchsuchungsrecht" ( --x ) für die Gruppe bzw. für die Welt der Fall wäre.

Die Zugriffsberechtigungen unterhalb des eigenen HOME- bzw. STORAGE-Verzeichnisses liegen in der alleinigen Hand der jeweiligen Nutzerin/des jeweiligen Nutzers und können von diesem/dieser mit den Kommandozeilen-Befehlen ls -l, chmod und chgrp nachträglich kontrolliert und geändert sowie mittels umask schon beim Anlegen beeinflusst werden (für Details verweisen wir auf die Manual-Seiten zu den Kommandos, also man ls, man chgrp usw.)

Begründung / Motivation

  • Schreibzugriff für beliebige Nutzer auf das eigene Heimatverzeichnis ermöglicht beliebige Manipulationen von darin enthaltenen Dokumenten, Daten und Konfigurationsdateien. Das ist weder im Sinne der Integrität und Vertrauenswürdigkeit der eingesetzten Systeme noch der darauf gespeicherten wissenschaftlichen oder dienstlichen Daten und Dokumente tolerabel.
  • Schreibzugriff für für sämtliche Gruppenmitglieder großer, unüberschaubarer Gruppen (wie 'studis') auf das eigene Heimatverzeichnis ermöglicht beliebige Manipulationen von darin enthaltenen Dokumenten, Daten und Konfigurationsdateien. Das ist im Sinne der Erhaltung der Integrität und Vertrauenswürdigkeit der eingesetzten Systeme und der darauf gespeicherten wissenschaftlichen oder dienstlichen Daten und Dokumente ebenfalls nicht tolerabel.
  • Uns sind keine plausiblen Szenarien bekannt, die auf einem Heimatverzeichnis ein Schreib- oder Durchsuchungsrecht für die Gruppe oder für die Welt ohne gleichzeitiges Leserecht umfassen würden. Entsprechende Berechtigungskombinationen dürften nicht das Ergebnis einer bewussten Entscheidung sein, daher stufen wir sie als Fehler/Fehlkonfiguration ein, die vermieden/behoben werden sollte.

Technische Umsetzung

  1. Auffinden von Home- bzw. Storage-Verzeichnissen auf der obersten Ebene (auf 'mi-home' bzw. 'mi-storage'), auf die eines oder mehrere der o.g. Kriterien zutreffen (find /home/mi/ -maxdepth 1 -perm ... ).
  2. Entfernen der im Sinne dieser Festlegung unerwünschten/sicherheitskritischen Zugriffsberechtigungen mittels Aufruf von (z.B.) chmod o-x ...)

Default-Berechtigungen am Fachbereich

Neu erzeugte Heimatverzeichnisse (unter /home/ und auch auf /storage/) werden mit den Zugriffsberechtigungen rwx------ (oktal 0700) angelegt. Das heißt, dass sie für den Inhaber/die Inhaberin les-, schreib- und durchsuchbar sind. Für Mitglieder der Inhabergruppe sind sie weder les- noch schreib- oder durchsuchbar, ebenso wenig für Dritte.

Die Default- umask ist '022' (oktal), es wird also bei neu erzeugten Dateien oder Verzeichnissen der Schreibzugriff für die Gruppe und für die Welt verhindert.

Beispiele

Beispiele 1: Ein Verzeichnis mit Daten (nur) für die eigene Arbeitsgruppe

$ ls -ld $HOME
drwxr-x---   90 bodo         sunstaff               4096 Nov 10 17:28 bodo

Also nur Lese- und Durchsuchungs-Berechtigung für die anderen Mitglieder der (Unix-)Gruppe - hier: 'sunstaff', aber keinerlei Zugriffsberechtigungen für Dritte (others). Erreichbar mit chmod g=rx,o-rwx $HOME .

Solche AG-Daten oder -Dokumente sollten eigentlich sinnvollerweise im entsprechenden Arbeitsgruppenbereich (unter /group/) abgelegt werden. Unser 2. Beispiel für diesen Anwendungsfall bezieht sich daher auf den /group-Server:

$ ls -ld /group/ag_klima
drwxrws--- 21 root klima 4096 Mai  6  2015 ag_klima
Das Gruppenverzeichnis der AG Klima gehört dem Nutzer root (es wurde vom IT-Dienst angelegt) und der Gruppe 'klima'. Es ist für alle Gruppenmitglieder sowohl les- als auch schreib- und durchsuchbar, zusätzlich wird noch - durch das gesetzte Gruppen-'s'-Bit ("set group id bit", setgid bit) sichergestellt, dass darin angelegte Dateien oder Unterverzeichnisse auch wieder der Gruppe 'klima' gehören. Erreichbar mit
chgrp klima /group/ag_klima
chmod g+rwxs,o-rwx /group/ag_klima

Beispiele 2: Ein Verzeichnis mit vertraulichen Daten

$ ls -ld $HOME
drwx------ 72 ingmar it 4096 Nov 26 14:53 /home/mi/ingmar

Also keinerlei Zugriffsrechte für die anderen Mitglieder der (Unix-)Gruppe - hier: 'it' - oder für Dritte (others). Erreichbar mit
chmod go-rwx $HOME

Beispiele 3: Ein 'öffentliches' Verzeichnis (nur öffentlicher Lese- Zugriff!)

Gelegentlich ist ein Verzeichnis wünschenswert, dessen Inhalt von jeder/jedem gelesen können werden soll (z.B. für Dokumente, die ohnehin legal aus öffentlich zugänglichen Quellen stammen oder für eigene Dokumente, die für die Allgemeinheit zugänglich sein sollen). Dann muss auch das HOME-Verzeichnis selbst für Dritte les- und durchsuchbar sein.

ALERT! Achtung! Alle anderen Verzeichnisse und Dateien unterhalb des HOMEs sind dann nicht mehr durch die Berechtigungen des übergeordneten Verzeichnisses geschützt; ihre eigenen Berechtigungen müssen dann so eingestellt sein, dass sie für Unbefugte nicht les-, ausführ- und/oder durchsuchbar sind!

$ ls -ld $HOME
drwxr-xr-x 34 demostudi students 4096 Nov 25 17:53 /home/mi/demostudi
Erreichbar mit
chmod g+rx,o=rx $HOME
(und gegebenenfalls weiteren Aufrufen für untergeordnete Verzeichnisse bzw. Dateien).

Ausblick: Fein-granularere Berechtigungssteuerung mittels Access Control Lists (ACLs)

Wird eine feinere oder komplexere Einstellung der Zugriffsrechte benötigt, so ist dies mittels Access Control Lists möglich, allerdings nur auf den Dateiservern, auf denen dieses Feature eingeschaltet ist. Zur Zeit (Stand Dezember 2015) ist dies nur beim Dateiserver für die Web-Dateien der Fall (/web/). Siehe Anleitungsseite zu den persönlichen Webseiten

Comments

 
Topic revision: r7 - 04 Dec 2015, IngmarCamphausen
 
  • Printable version of this topic (p) Printable version of this topic (p)