[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]: setgid ist besser (was: problem mit rechten

Sag mal, das ist mir bei ALLEN Spielen passiert (z.B. Tertis), die
Highscore schreiben wollten. waren 3 oder 4 !!!!
Seit dem habe ich es aufgegeben, mich überhaupt noch als user
einzuloggen. Nur noch als root. Obwohl, es gab auch schon Programme, die
kpnnte nur der user starten, root aber nicht. Das habe ich überhaupt
nicht erstanden.
Ich glaube, dieser ganze Kram mit den Rechten schafft mehr Verwirrung
als sonstwas. Das ist ziemlicher Müll, finde ich. Mag ja z.T. sinnoll
sein, aber solche Sachen wie das mit den HiScores ist einfach
lächerlich.
Also, jetzt habe ich 10 erschiedene Antworten, was muss ich nun tun, um
als user alle Spiele IMMER so zu spielen, das auch geschrieben werden
kann (HiScore, Cfg-Dateien etc.)
(Und wenn der user halt mal was kaputt mcht, mein Gott-dann wird es eben
neu installiert -no problem). Man kann den Sicherheitswahn auch
übertreiben. Solange man nicht inm netz ist, ist es doch sowieso egal.

Also das muss jetzt mal gesagt werden: LINUX NERVT LEIDER OFT!

Ok, und was mach ich nun? User zur gruppe games, oder was?
soll ja auch schlwecht sein? was denn nun?

Marcus Brinkmann wrote:
> 
> On Wed, Mar 10, 1999 at 01:25:47PM +0100, Frank Barknecht wrote:
> 
> > > was muss ich jetzt tun, um dem user genügend rechte zu geben, dass auch
> > > dateien geschrieben werden dürfen (wie highscores oder was auch immer so
> > > spiele halt schreiben, savegames o.ä.)
> >
> > Hierfür hat Linux das Konzept der Benutzergruppen. Jeder User kann
> > mehreren Gruppen angehören, die dann bestimmte Gruppenrechte wahrnehmen
> > können. Welchen Gruppen man selbst angehört, sieht man mit den Kommandos
> > "id" oder "groups".
> 
> [... gute Info gelöscht ...]
> 
> > enthält nun die Highscores von emeraldia, einem recht coolen Tetris-Clone.
> > Diese Datei ist für Mitglieder der Gruppe games beschreibbar. Um mich zur
> > Gruppe games hinzuzufügen, habe ich als root das Kommando adduser wie folgt
> > aufgerufen:
> >
> > # adduser freak games
> 
> Frank, deine Infos über die Gruppenrechte waren bestimmt nützlich. Trotzdem
> irrst Du Dich. Benutzer sollten *nicht* der Gruppe games zugeschrieben werden.
> 
> Denn dann könnte ja jeder Benutzer die Dateien editieren, löschen etc.
> 
> Das ist viel mehr, als man will!
> 
> Es gibt ein anderes Konzept, welches einem Programm erlaubt, zur Gruppe
> games zu gehören, ohne dem Benutzer die Rechte zu geben. Das nennt man
> setgid. Die Spiele müssen setgid gemacht werden (mode 2755). Dann
> funktioniert das Highscore speichern,aber der User kann nichts kaputtmachen.
> 
> Das steht auch so in der Debian Policy (5.9). Wenn ein Spiel seinen
> Highscore nicht speichern kann, bitte einen Bug report schicken!
> 
>      Each game decides on its own security policy.
> 
>      Games which require protected, privileged access to high-score files,
>      savegames, etc., must be made set-_group_-id (mode 2755) and owned by
>      `root.games', and use files and directories with appropriate
>      permissions (770 `root.games', for example). They must _not_ be made
>      set-_user_-id, as this causes security problems. (If an attacker can
>      subvert any set-user-id game they can overwrite the executable of any
>      other, causing other players of these games to run a Trojan horse
>      program. With a set-group-id game the attacker only gets access to
>      less important game data, and if they can get at the other players'
>      accounts at all it will take considerably more effort.)
> 
> Als kurzfristige Abhilfe führt man als root den Befehl aus:
> 
> chmod 2755 /usr/games/gnome-stones ; chgrp root /usr/games/gnome-stones
> 
> (oder, statt gnome-stones, irgend ein anderes Spiel).
> 
> Aber KEINE user der Gruppe games hinzufügen!!
> 
> > Ebenso gibt es sinnvolle Gruppen, etwa fax für
> > Fax oder dip und dialout für die ppp-Verbindungen. Alle Gruppen sind in der
> > Datei /etc/group aufgelistet.
> 
> Das ist wiederum korrekt. Für ppp zum Beispiel fügt man user der Gruppe
> hinzu.
> 
> Danke,
> Marcus
> 
> --
> `Rhubarb is no Egyptian god.' Debian http://www.debian.org   finger brinkmd@
> Marcus Brinkmann              GNU    http://www.gnu.org     master.debian.org
> Marcus.Brinkmann@ruhr-uni-bochum.de                        for public  PGP Key
> http://homepage.ruhr-uni-bochum.de/Marcus.Brinkmann/       PGP Key ID 36E7CD09


------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     664
Reply to: