OnyX ja oikeuksien korjaaminen?

[steelduck]

Minulla on MacProssa useampi levy ja Onyx korjaa oikeudet vain MacIntoshHD:sta. Miten saan korjauttua ne muistakin?

[nalle76]

OSX oma Disc Utility?

[gramdel]

Oikeudet voidaan korjata vain os x käynnistyslevyltä.

/---
ap

[TheKraken]

Oikeudet voidaan korjata vain os x käynnistyslevyltä.

Ja tähän vielä selitys:

Muilla levyillä ei ole mitään korjattavaa Voit ihan itse määritellä oikeudet miten lystäät ja se ei käyttiksen toimintaan vaikuta mitenkään.

[securapple]

Kyllä sen verran kantsis kattoa ettei niillä omilla levyilläsi ole pistetty SUID/SGID -bittejä päälle suoritettaville tiedostoille.

Tää on peruspahe joka vaivaa kaikkia *nixeja ja osX:ääkin, eli jos annat kaverin tiputtaa yhdenkin filun sellaisenaan niin GAME OVER, ilkeä kaveri saa koneesi haltuun.

Eli jos tiputan SUID-bittisen filun kovollesi joka on merkitty

Lisätietoa : http://books.google.com/books?id=A54wEF ... t&resnum=2

http://www.cs.tut.fi/kurssit/8306000/kj.html

-Securapple

[TheKraken]

Väitätkö siis, että yksi ainut tiedosto ulkoisella levyllä voi aiheuttaa sen, että kone voidaan kaapata verkon yli? Vai mennäänkö tässä nyt taas vähän hätävarjelun liioittelun puolelle?

Nuo linkkisi kun eivät asiaa ihan hirmuisesti ainakaan näin maallikon silmiin valota.

[morbusg]

Suid- tai sgid-ohjelmat eivät ole turvallisuusongelma, kunhan mitään ohjelmaa ei tarpeettomasti eikä vahingossa määritellä sellaiseksi eikä näiden ohjelmien kautta pääse tekemään mitään muuta kuin oli tarkoitettu.

Siis jos annan vaikka tunnukset jollekkin ja se, kenelle tunnukset tein, siirtää vaikka ssh:lla jonkun tekemänsä ohjelman jonka se on omassa järjestelmässään chmodannut suid:ksi, niin se määritys-bitti säilyy siirrossa? Hyvin, hyvin vaikea uskoa.

[securapple]

Kaukaa haettujahan nämä on mattimeikäläisen näkökulmasta, mutta ovat kuitenkin esillä ammattikirjallisuudessa varsinkin serveripuolella.
Yleensähän hyvä tapa tällaisten torppaamiseen on mountata /home -hakemisto omana osionaan erilaisilla flägeillä nosuid,noexecute -optiolla.

Tarkennetaan nyt tuota "uhkaa" siten, että olet kirjautunut koneellesi. Pahantahtoinen kaverisi tulee kylään, kertoo hienosta uudesta ohjelmasta ja tökkää USB -tikkunsa / CD:n koneeseesi,tikulla on sitten executable-tiedosto SUID-bitillä jonka ko. henkilö sitten ajaa (täysin oikeuksin).

Serveripuolella tämä on isompikin uhka mikäli peruskäyttäjien määrä on suuri.

-Securapple

[morbusg]

^Piti ihan kokeilla. Eli aluksi formatoin tikun HFS+:ksi, ja sitten:

Koodi: Valitse kaikki

echo '#!/bin/sh
echo diudiu' > testi.sh
chmod 4111 testi.sh
sudo chown root testi.sh

Sitten siirsin tikun toiseen koneeseen, ja koitin ajaa:

Koodi: Valitse kaikki

./testi.sh: Permission denied

Kopioidakkaan ei antanut.
Teenkö jotain väärin, vai..?

[securapple]

"Siis jos annan vaikka tunnukset jollekkin ja se, kenelle tunnukset tein, siirtää vaikka ssh:lla jonkun tekemänsä ohjelman jonka se on omassa järjestelmässään chmodannut suid:ksi, niin se määritys-bitti säilyy siirrossa? Hyvin, hyvin vaikea uskoa."

umaskihan ton määrittää ja eikös se umaskin (neljä numeroa). Jos eka on nolla niin eikö silloin SUID/SGID säily? testien mukaan tuota ekaa ei voi edes asettaa muuksi kuin nollaksi. Muuten tulee virheilmoitus tyyliin "umask: 2022: octal number out of range".

Leopardissa ftp-serverin osalta
/etc/auto_master -tiedostossa
#
# Automounter master map
#
+auto_master # Use directory service
/net -hosts -nobrowse,nosuid
/home auto_home -nobrowse
/Network/Servers -fstab

eli serverin automountti menee /etc/fstab -tiedostossa :

media:/export /Network/media nfs nosuid,nodev 0 0

Tuolla tuo nosuid,nodev ignoraa suidit ja sgidit, joten ei ongelmia.
kotihakemistot menevät tuon auto_homen kautta, nosuidia ei ole asetettu kuten /net -puolella (NFS-automountit).

Joskus voisi kokeilla jos pistäisi nosuid tuonne /home -puolellekin. Mutta kun ei ole jaettu kone niin ei oo tarvetta.

Lähteenä mm. http://rajeev.name/blog/2007/11/22/auto ... 05-part-i/

-Securapple

[morbusg]

umask on tietääkseni uusille luotaville tiedostoille, ja oktaalilukuna.

[securapple]

^Piti ihan kokeilla. Eli aluksi formatoin tikun HFS+:ksi, ja sitten:

Koodi: Valitse kaikki

echo '#!/bin/sh
echo diudiu' > testi.sh
chmod 4111 testi.sh
sudo chown root testi.sh

Sitten siirsin tikun toiseen koneeseen, ja koitin ajaa:

Koodi: Valitse kaikki

./testi.sh: Permission denied

Kopioidakkaan ei antanut.
Teenkö jotain väärin, vai..?

kokeiles ensin /bin/sh testi.sh , ettei nyt vaan ajo tapahtuisi (kuitenkin) bashilla joka ainakin joissain linukoissa kieltäytyy ajamasta suid -skriptejä.

-Securapple

[securapple]

umask on tietääkseni uusille luotaville tiedostoille, ja oktaalilukuna.

Niin, noinhan se mullekin opetettiin lähes viitisentoista vuotta sitten käyttöjärjestelmien kurssilla.

-Securapple

[morbusg]

kokeiles ensin /bin/sh testi.sh , ettei nyt vaan ajo tapahtuisi (kuitenkin) bashilla joka ainakin joissain linukoissa kieltäytyy ajamasta suid -skriptejä.

Sama ilmoitus tuli. Tosin liekkö /bin/sh sitten bash kun näyttäisi ainakin saman kokoinen olevan, vaikkei linkki olekkaan.

[securapple]

kyllä ne erit on mutta koko on aika lähellä toisiaan:

securapple$ md5 /bin/sh
MD5 (/bin/sh) = bef2a8b052abb193d519ec41b644433d
securapple$ md5 /bin/bash
MD5 (/bin/bash) = 5840770dbccc4d045efef287f0084eb6

ei hitsinpitsi, on se sh sittenkin bash, mutta kuitenkin hieman muutettu kun md5 tarkiste ei mätsää :
kokeiles

securapple$ strings /bin/sh

löytyy "Use `info bash' to find out more about the shell in general."

-Securapple

[TheKraken]

Kaukaa haettujahan nämä on mattimeikäläisen näkökulmasta, mutta ovat kuitenkin esillä ammattikirjallisuudessa varsinkin serveripuolella.

Mutta kun tässä topicissa nimen omaan Matti Meikäläinen kyselee OnyX-vinkkejä eikä servereistä ole puhettakaan

[masa]

Tahtoo välillä mennä hieman yli nämä turva-asiat... 8)

[securapple]

Juu, vähän lähti lapasesta. Syy oli lähinnä Krakenin väite että muille kuin järjestelmälevylle voi luvat pistää miten lystää :

Voit ihan itse määritellä oikeudet miten lystäät ja se ei käyttiksen toimintaan vaikuta mitenkään.

joka ei kuitekaan pidä ihan 100% paikkaansa.

Asiaan, itse sanoisin että Onyx ei voi millään tietää mitä tavaraa ulkopuolisilla levyillä on eikä voi näin määrittää "oikeita" permissiota ko. levyille.

-Securapple

[Jamac]

Niii... Se "oikeuksien korjaaminen" tarkoittaa edelleen sitä että oikeuksia korjaava ohjelma lukee Applen "asentaja-wizardilla" asennettujen ohjelmien tai päivityspakettien jättämistä reseptitiedostoista asennuksessa muuttuneet oikeudet (tms.) ja vertailee ja korjailee niiden perusteella systeemin tiedostojen oikeuksia jos jotain on. Ei koske millään lailla siis käyttäjän tekemiin oikeusmuutoksiin.

[RiCe]

reseptitiedostoista

receipt = kuitti

[morbusg]

Kyllä Jamac mielestäni kiteytti täydellisesti tuossa kaiken oleellisen, joten "resepti"-sanakin menee läpi tässä yhteydessä ainakin meikäläiselle aivan hyvin

[securapple]

Hei!

Ohessa tietoja :

http://support.apple.com/kb/HT1452?viewlocale=en_US

http://www.macworld.com/article/52220/2 ... sions.html

-Securapple

[Jamac]

Jaguaarissa (10.2.) ja Pantterissa (10.3.) (ehkä kai nuoremmissakin) jostain syystä oikeuksien korjaaminen oli yksi ongelmien korjaamistapa joka auttoi. Mutta on siis historiaa...