On Fri, 24 Feb 2012, Jacob Sparre Andersen wrote:
Povl Ole Haarlev Olsen skrev:
Jeg synes, jeg hoerte noget om, at NemID ogsaa laeser filer udenfor
${HOME}. Har du ogsaa en god loesning paa det problem?
Ved at lade nemid-brugeren v?re i gruppen "nogroup", s? begr?nser du
dens adgang voldsomt. Specielt hvis du husker at rettigheder til
"others" skal tages meget bogstaveligt.
Det er klart. Jeg har bare ikke set ret mange eksempler, hvor folk har
fjernet nogroups rettigheder til at laese f.eks. /proc/net/dev,
/sys/block/sda/device/model eller /etc/passwd for bare at naevne nogle
af de filer, jeg ikke er interesseret i at DanID gaar og kigger i.
Paa en default opsaetning af Squeeze kan nobody, der kun er i nogroup,
f.eks. faa at vide at...
# su -c "id ; cat /sys/block/sda/size" nobody
uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)
976773168
... sda er en ca. 500GB disk.
Det er altsaa ikke nok bare at svinge tryllestaven og sige "nogroup"
og saa ellers tro, at alt er lukket ned.
Skal man virkelig ud i noget med en virtual machine eller SELinux
for at slippe for den slags pjat?
Det skal man nok.
Det maa jeg saa kigge naermere paa, hvis jeg en dag skulle vaere saa
uheldig, at jeg bliver tvunget til at faa et NemID. Det bliver nok
ikke foreloebig. :-)