Berechtigungen - Vorteile?

Berechtigungen - Vorteile? (27 Beiträge, 498 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Bin eigentlich Windows-Guy und hatte unlängst eine Diskussion über Vorteile bei Berechtigungsvergabe unter Linux.
Ich habs nicht ganz verstanden, was tatsächlich "besser" einstellbar ist als unter Windows.

Euere Meinung?

Cool, da sind wir schon zwei - nur ich gehe noch einen Schritt weiter und sage: Die Rechtevergabe von Windows ist um Welten flexibler als die von Linux

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Womit Du gerade bewiesen hast, dass du dich nie in SELinux eingearbeitet hast... Oder AppArmor... Oder ...

Korrekt

Ich wüsste aber auch nicht wozu - mir ist doch ein sauberes Debian 100mal lieber als ein SELinux.

Ich würde dich dennoch bitten, mal aufzuzeigen, welche Rechte ich auf Dateisystemebene ich unter Linux setzen kann, was ich mit Windows nicht kann.

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Ahem... SELinux ist in jedem 2.6er-Kernel drin, also auch in deinem Debian

. Du musst es nur aktivieren... Lies dich aber vorher in Policies ein oder aktiviere den logonly-Mode und nicht den scharfen - sonst hast dich sofort effektiv ausgesperrt

.

Wir waren vorhin übrigens bei Berechtigungen allgemein, nicht nur auf FS-Ebene...
Bei SELinux kannst Du definieren, welche Daten auf welchen Pfaden zwischen Applikationen wandern können - also B-Level-Security...

Das schlägt natürlich implizit runter bis zu Files.

Beispiel:
Ein Benutzer darf nur mit Outlook in seinem USERHOME/Mail/... Daten modifizieren, nicht aber mit notepad oder einem anderen Proggy (evtl. Virus)

Der Benutzer oracle darf nur mit den Kommandos psql, dem oracle-Prozess und xyz auf seine Datenbankfiles zugreifen - nicht mit anderen.

Der "Fehler" bei C2-Systemen (wie Windows/Linux out-of-the-Box) ist ja, dass jeder Benutzer alles mit seinen Daten machen darf. Genau drum existieren ja Viren-Würmer - weil eben ein Virus dann Sachen modifizieren darf, die dem Benutzer gehören.

Warum sollte man Beispielsweise einem Programm, dass von Outlook weggestartet wurde, erlauben den Autostart-Ordner zu modifizieren (um mal ein simples Beispiel zu bringen). Da macht es mehr Sinn, Outlook in eine eigene Domäne zu werfen und den laufenden Prozess eigenen Regeln zu unterwerfen.

Du hast also bei SE im Prinzip aufgelöste N:M-Beziehungen a la

 
                |------|
                | User |
                |------|
                   |
|---------| |----------------| |------------|
| Context |-| Zugriffsrechte |-| Zielobjekt |
|---------| |----------------| |------------|

Bei "normalen" Systemen wie Windows würde fehlen:
1.) Der Context
2.) Zielobjekte wäre stark eingeschränkt. Zielobjekt könnte beispielsweise auch sein "Darf einen Socket öffnen" (damit wäre auch Schluß mit "nach-hause-telephonieren

), ...

Programme können natürlich Contexte wechseln - an definierten Punkten.

Es gibt noch mehr, was da dranhängt...
SE bietet seit Jahren extrem viele Möglichkeiten, denen Windows sich langsam annähert. Die UAC, das neue Sicherheitsmodell (wo der IE mit anderen Rechten rennt als ein "normaler" Userprozess), die Registry-Virtualisierung (oder wie M$ das Zeug nennt) sind nichts anderes als Versuche von M$, Windows Richtung B-Level zu heben und das Thema trotzdem Endusertauglich zu halten.

Aus meiner Sicht ist eine übliche Windowsinstallation in den Händen eines HalbDaus von den Sicherheitsmöglichkeiten einer üblichen Linuxinstallation in den Händen eines Halbdaus durchaus überlegen. M$ hat zumindest seit NT3.51 durchaus vieles geschafft.

In den Händen eines Profis sieht es dann aber anders aus.
MultiLevelSecurity, SE, ... sind Elemente, die gerade erst in die Windows-Welt kommen... Und natürlich wird es 10 Jahre drauf auch mal am MacOS sein und dann werden die Maccer behaupten, dass sie es erfunden haben

Hui, na da muss ich mich entschuldigen - ich hatte SELinux mit dem SuSE Enterprise Server (oder wie auch immer das Ding heisst) in Verbindung gebracht. SELinux ist somit ein komplett neues Kapitel für mich - werde ich mir mal ansehen.

Was mich halt generell stört ist dieses single User/single Group Prinzip - das scheint aber unter SELinux aber ja nicht mehr zu existieren (oder wurde das etwa beibehalten?).

Danke fürs Aufklären

die Maccer

Meine bessere Hälfte ist eine solche Anhängerin - was ich mich da schon geärgert habe.

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Was mich halt generell stört ist dieses single User/single Group Prinzip - das scheint aber unter SELinux aber ja nicht mehr zu existieren (oder wurde das etwa beibehalten?).

SingleUser/Group gibts ja AFAIK seit den 70ern nicht mehr bei Unixoiden... Wohl gibt es aber noch die Primärgruppe. Wenn Du eine Datei anlegst, bekommt sie die Gruppe deiner Primärgruppe (ausser die Directorypermissions sehen anderes vor) - aber das kennst eh.

Ansonsten hat man mit ACLs schon recht viel in den Griff bekommen... Rein bei den Filesystemrechten bietet Windows da allerdings echt mehr (zB Append-Recht bei Directories) [Auch wenn De facto M$ selbst seine eigenen Guidelines verletzt und man viel zuoft zuviele Rechte auf Directories vergeben muss]).

SELinux hingegen ist extrem stark. Die Patches für den 2.4er-Kernel bzw. der Vanilla-Teil für 2.6 stammt von der NSA, und die haben ja doch ein bisschen Ahnung von Security:
http://www.nsa.gov/research/selinux/index.shtml

Dabei gibt es noch immer die klassischen Unix-Rechte... SE wird praktisch erst dann aktiv, wenn du unter "normalen" Bedingungen (Filepermissions, ...) Zugriff auf ein Objekt bekommen hättest - dann kann es durch die SE-Policies nochmal abgedreht werden

.

Wichtig ist dabei (zumindest für den File-Teil), dass deine Dateisysteme POSIX-ACLs unterstützen.

Es gibt 2 reale Nachteile von SE:
1.) Man muss sich in das Denkkonzept mal einleben. Das ist immer aufwändig.
2.) Es gibt keine mir bekannten Tools die einen Unterstützen, Policies bequem zu setzen. Vergleich aus der "DB"-Welt: Wenn man nur ACCESS gewohnt ist, kommt einem händische DML/DQL/DDL-Statements unendlich umständlich vor. Wenn Du die händisch gewohnt bist - kommt dir das Access-GUI wie eine extrem umständliche Einschränkung vor (beginnend mit simplen UNIONs).

Reale Einarbeitungszeit (so wie ich dich kenne) für Dich in SE: 1 Monat, wenn Du es so nebenbei machst... 1-2 Wochen, wenn Du es intensiv betreibst. Darunter wird es kaum klappen.

Das Ergebnis kann sich aber sehen lassen.
Angenommen, es hackt Dir wieder einmal einer den Apache - wie mir in den 90ern passiert wg. modSSL-Bug - dann macht es nichts mehr, weil er zB nicht mehr wegforken kann und daher nicht einmal eine Shell bekommt

der einzige vorteil ist, sie ist für alle transparent und man kanns nicht so einfach umgehen wie unter windows.

ich finde aber die von windows deutlich feiner aufgelöst bzw. auch der grafische zugriff auf fast alle elemente ist ein deutlicher vorteil.

da kann linux noch so tolle möglichkeiten haben, wenn die nur der größte geek kennt und nicht der durchschnittsadmin ists halt einfach ein handicap..

Gestern standen wir noch am Abgrund, heute sind wir einen Schritt weiter.

Sir, we are surrounded!
Excellent! We can attack in any direction!

ich finde aber die von windows deutlich feiner aufgelöst bzw. auch der grafische zugriff auf fast alle elemente ist ein deutlicher vorteil.

Inwiefern is das im Windows "feiner aufgelöst"

es gibt mehr rechte als nur die auf dateiebene.

und auch hier, wie stell ich für 2 oder mehr benutzer die rechte ein?

ich hab nur group, owner und others.

auf ntfs kann ich jedem benutzer sehr detailierte zugriffsrechte verteilen.

Gestern standen wir noch am Abgrund, heute sind wir einen Schritt weiter.

Sir, we are surrounded!
Excellent! We can attack in any direction!

Ich bin da ja auch kein Experte aber...

und auch hier, wie stell ich für 2 oder mehr benutzer die rechte ein?

Du stellst die group Rechte der Datei passend ein und gibst dann die Benutzer in diese Gruppe.

auf ntfs kann ich jedem benutzer sehr detailierte zugriffsrechte verteilen.

Zugriffsrechte auf was?

auf eine datei.

ich kann benutzer a in gruppe x rechte vergeben
ich kann benutzer b in gruppe x andere rechte vergeben
ich kann benutzer c in gruppe y andere rechte vergeben
ich kann gruppe d auch andere rechte verleihen

bei linux ist das leider nicht einfach, weil es nur einen owner gibt, nur eine gruppe und die allgemeinheit eben.

bin ja nur auf dein beispiel eingegangen

Gestern standen wir noch am Abgrund, heute sind wir einen Schritt weiter.

Sir, we are surrounded!
Excellent! We can attack in any direction!

Hi.

Dazu mußt Du Secondary Groups verwenden (unter Unix).

für die datei oder meinst du das ein benutzer in einer weiteren gruppe ist?

Gestern standen wir noch am Abgrund, heute sind wir einen Schritt weiter.

Sir, we are surrounded!
Excellent! We can attack in any direction!

Die Datei kann ja nur immer 1 Owner und 1 Gruppe gehören. Du kannst aber via Group-Permissions bzw. Other-Permissions schon das ziemlich fein einstellen.

Unter Unix (weiß ob das unter Win auch so implementiert ist) kann halt ein User auch mehrere Sub-Groups zugehören. Die wirken sich beim Datei anlegen zwar nicht aus, dafür für die anderen die in der Sub-Gruppe sind, beim bearbeiten der Datei.

Bis auf diesen kleinen Unterschied sind imo die Datei-Rechte relativ gleich. Windows hats halt in einem Fenster, unter Unix muß sich der User halt mit chmod/chown weiterhelfen.

18.12.2009, 13:24 Uhr - Editiert von A national Acrobat, alte Version: hier

Die Datei kann ja nur immer 1 Owner und 1 Gruppe gehören.

Unter Win/NTFS etwas anders; entweder Gruppe oder Person.

Unter Unix (weiß ob das unter Win auch so implementiert ist) kann halt ein User auch mehrere Sub-Groups zugehören.

Wie definiert sich eine "Sub-Group" unter Unix?
Bei Windows kann ein User mehreren Gruppen angehören, und da gilt: wird ein Recht nicht explizit genommen kann eine Gruppemitgliedschaft die Rechte durchaus nach oben hin erweitern.
Ander als unter Unix (zumindest liest es sich so) werden bei Windows aber per Default die Rechte des Ordners auf alle Unterordner bzw. Dateien vererbt.

Windows hats halt in einem Fenster, unter Unix muß sich der User halt mit chmod/chown weiterhelfen.

Unter Windows kann man mit dem GUI arbeiten, aber wer das nicht mag kann auch über die Commandline mit cacls/icacls bzw. subinacl arbeiten.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

vs.

>> Unter Win/NTFS etwas anders; entweder Gruppe oder Person.

Ok das wäre dann schon ein eklatanter Unterschied, weil auf das 1Owner/1Group Prinzip baut Unix auf.

>> Wie definiert sich eine "Sub-Group" unter Unix?

Das Du die Rechte der Gruppe übernimmst, jedoch beim anlegen eines Files/Dirs immer die Primäre Gruppe und deren Rechte auf das File übertragen wird.

Wenn ich z.B. der Gruppe "sys" als primäre Gruppe angehöre und als Sub-Grp z.B. "Video" habe und ich sage "touch abc" wird das via umask und meiner UID/GID (die in diesem Fall sys wäre) angelegt.

>> Unter Windows kann man mit dem GUI arbeiten, aber wer das nicht mag kann auch über die Commandline mit cacls/icacls bzw. subinacl arbeiten.

Das ist aber soundso das geringste Problem, unter Unix gibts ja auch (hat eh wer oben gepostet) GUIs.

Ebenso greets.

ps.: http://de.wikipedia.org/wiki/Role_Based_Access_Control ist mittlerweilen in paar Unixen auch schon implementiert. Hier kann man dann ziemlich genau Userrechte definieren.

18.12.2009, 14:35 Uhr - Editiert von A national Acrobat, alte Version: hier

setfacl ?

Man kann natürlich belegen, daß Windows ACLs für NTFS out of the box einige Möglichkeiten mehr bieten (wie weit man das jetzt auf Prozesse umlegen kann, ist eine andere Geschichte).

Umgekehrt gibt durchaus auch ACL Extensions für einige Linux-Filesysteme, die für einige Serverdienste sogar vorausgesetzt werden. Der Trend zu Metadaten ist seit Jahren Thema, aber Reiser4 und das BeFS sind halt ungeliebte Kinder.

Die praktische Gefahr, die ich bei ACLs sehe, liegt darin, daß man sich dann insofern verzettelt, als man halt ständig mehr Regeln hinzufügt, als allem eine saubere Struktur zu geben.

Umgekehrt: was nützt einem eine tolle GUI, wenn man einen großen Fileserver damit nicht per Scripts gezielt umbauen kann (find, xargs, etc), jedenfalls wiederum nicht mit Bordmitteln (ohne Powershell usw.).

Unix Rechte pflanzen sich 1:1 in NFS und Unixoid-übergreifend fort,
Samba hat umgekehrt riesige Probleme, die beiden unterschiedlichen Semantiken unter einen Hut zu kriegen.

Im Grunde: Was nützt eine tolle GUI, wenn der Nachwuchs-Admin das Sicherheits-Konzept, sowohl der jeweiligen SW/des OS, als auch Policies der eigene Firma, nicht verstanden hat?

Selbst ext2 kennt POSIX ACLs (ext3 natürlich auch), reiser sowieso, xfs ebenfalls... Und damit sind wir alle "realen" Dateisysteme durch

Wenn Du unter Betriebssystem X ein Dateisystem mit supertoller Rechteverwaltung willst, bei der du für jede Datei/Verzeichnis mehrere Gruppen/Benutzer-ACLs willst, nimm OpenAFS.

Löschen statt Verstecken!
open source mathematica alternative

Es ist eventuell nicht feiner einstellbar, aber leichter administrierbar & übersichtlicher

Der Mix aus direkt vergebenen, geerbten und Freigabe Berechtigungen, kann bein NTFS schon mal zu einem ungewünschten Ergebnis führen

Ansonsten kann man ein wenig in der Geschichte graben, bei NTFS und den WindowsNT Berechtigungen hatte MS ziemlich viel Hilfe von DEC (hat sich so ziemlich alles beim VMS abgeschaut), und UNIX wurde zuerst als Multiuser OS für die DEC PDP-7 entworfen, und die Berechtigungsstrukturen, von DEC als Grundlage für die Entwicklung von VMS verwendet, waren auch Grundlage für Linux...

Ist halt immer so, daß Harcore Linus Gurus immer ans Windows Fat32 Dateisystem denken (bzw. das, was unter Linux vom NTFS überbleibt), und Hardcore Windows Fanboys ans Suse Linux 1.0, weil sie einfach nie weiter in die Strukturen & Möglichkeiten des anderen Systems vorgedrungen sind.

22.12.2009, 00:48 Uhr - Editiert von to_markus, alte Version: hier

Unter Linux herrschen seit jeher klare Verhältnisse (User können in ihrem /home Verzeichnis rumpfuschen und sonst nirgends), das gibts unter Windows in der Form schlichtweg nicht, auch im neuen Windows 7 nicht. Wäre dort auch eher hinderlich.

Was fein aufgelöste Berechtigungen angeht, auch unter Linux kannst du mit ACLs arbeiten. Macht man aber nicht, da das einfache owner/group System in der Regel völlig ausreicht, nicht zuletzt auch da es konsequent angewendet wird.

Letztendlich denke ich nicht, daß es Vor- oder Nachteile in dem Sinne gibt, oder man das so vergleichen sollte. Du kannst auf beiden Systemen das erreichen was du willst oder für sinnvoll erachtest.

Die Konzepte sind halt etwas unterschiedlich. Unter Linux gibts Root und alle anderen sind nur normale User, unter Windows ist dagegen nach wie vor der normale User = Root, auch wenn man da jetzt ab und zu noch was mit einem Klick bestätigen muss.

Nicht Linux

Das rwxrwxrwx stammt von Unix und ist viel älter als Windows und Linux.
(Anfang der 70er Jahre)

Es beschränkt sich aufs nötige, einfach puristisch.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung