nobody som extra säkerhet, samt köra program som nobody från annan user

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004

nobody som extra säkerhet, samt köra program som nobody från annan user

Först en liten förtydelse. Jag kör Samba helt public utan users eftersom vi två som delar på utdelningen delar helt lika och ska ha samma rättigheter på allt i den, därav public och därav nobody som kör Samba. Nu till den lilla frågan

Jag kör Xvnc på servern i min users namn (som är medlem i wheel) och från den "Fluxbox-sessionen" så kör jag Lopster som tankar filer och katalogen den tankar till måste då ägas av min wheel-user alternativt ha 777 eller nåt annat "helöppet" eftersom även Samba-usern "nobody" ska ha rättigheter dit för att enkelt kopiera/flytta filer från XP.

Jag undrar nu om jag från min Xvnc-session kan starta Lopster så att det körs som "nobody"?
Typ "lopster -u nobody &" eller nåt sånt
Då skulle jag kunna sätta rätt restriktiva rättigheter på hela Samba-utdelningen och låta allt ägas av "nobody" vilket jag antar skulle vara hyfsat mycket säkrare än om det är en blandning mellan nobody och min user som även råkar va medlem i wheel-gruppen.
Och måste jag in där innefrån servern så får jag väl su'a, inte värre än så.

Så om nån skulle hacka mitt konto så kommer dom ändå inte in i Samba där alla "känsliga" filer och dokument ligger eftersom nobody då äger allt restriktivt.

Och om det nu går att köra program som någon annan user, är det extra dumt av nån anledning att använda sig av nobody såhär, eller är det istället extra säkert nästan eftersom nobody inte går att logga in som?
Även om nån skulle hacka mitt lösen till min vanliga wheel-grupps user så kommer dom aldrig in i nobody sålänge dom inte kommer åt root och då är ju ändå allt kört vad man än gör.

Vill inte strula för mycket bara fixa till så det blir lite snyggare/säkrare än det är nu
Tar det i små steg istället hehe

Vore jäkligt schysst om nån kunde ge lite tips innan jag börjar förstöra saker här. Lite jobbigt om man pajar nåt helt eftersom det är typ 100GB i Samba-sharen och hundratals filer, så gör man nåt dumt rekursivt.....ja....

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Svedala
Registrerad
Apr 2002

'sudo -u nobody lopster' borde funka.

Men jag måste säga att du verkar ha en jäkla röra bland dina shares...

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av nillon
'sudo -u nobody lopster' borde funka.

Men jag måste säga att du verkar ha en jäkla röra bland dina shares...

Kör inte med sudo på mitt system. su nobody funkar iallafall inte för då blir jag promptad på password, och som sagt ska väl inte nobody gå att logga in som iallafall.

Tycker det borde va en rätt enkel/säker lösning iallafall, om det funkar så som jag tror. Att säkerheten blir större eftersom nobody äger allt och endast nobody har rättigheter att komma in från Unix-systemet, men eftersom man inte kan logga in som nobody så blir det "omöjligt" för nån att hacka dessa filer jämfört med om min vanliga user ägt allt.

Men men, kräver ju att jag kan starta Lopster som nobody. Alternativt har min Incoming-katalog ägd av seb, men sätter nån mask på den så att alla filer som skapas i den blir ägda av nobody som default, men det tror jag inte går

EDIT: jo jag har visst sudo på systemet iallafall, men har det inte konfat så att jag har rättighet att använda det tror jag. Har inte orkat sätta mig in i det eftersom su funkar bra de få gånger man måste su'a.

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Svedala
Registrerad
Apr 2002

Du har fått en lösning, men du orkar inte sätta dig in i hur du ska konfa sudo för att få det att funka? Känns lönt att svara på dina frågor du...

Edit: Rätta mig om jag har fel här, men jag håller inte alls med om den här teorin att äga filer av nobody. Tanken är väl snarare att inga filer ska ägas av nobody, och att man kör tex. apache som nobody, just för att det inte ska ha rättigheter till några filer om någon skulle hitta en exploit i det?

Edit 2: Vänta här nu, har jag fattat det här rätt? Du kör samba som public, dvs. fulla rättigheter utan någon speciell inloggning, men sen vill du säkra filerna mot att kunna bli hackade som din användare?

Trädvy Permalänk
Medlem
Plats
Bollnäs
Registrerad
Maj 2002

Så här är det i varje tråd du skriver tycker jag, du får en lösning sen motsätter du dig den för att det inte är så du tror, eller tycker, att man ska göra eller att det helt enkelt inte passar dig..

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av nillon
Du har fått en lösning, men du orkar inte sätta dig in i hur du ska konfa sudo för att få det att funka? Känns lönt att svara på dina frågor du...

Edit 2: Vänta här nu, har jag fattat det här rätt? Du kör samba som public, dvs. fulla rättigheter utan någon speciell inloggning, men sen vill du säkra filerna mot att kunna bli hackade som din användare?

Känns ju troligt att sudo funkar när inte su gör det...men men...

Ja, Samba public i mitt lilla LAN, med åtkomst för mina två XP-burkar men inga andra.
Tänkte att om nån hackar mitt konto så kommer dom iallafall inte åt mina dokument och viktiga filer eftersom allt sånt ligger i samba ifall jag kunde sätta dom till nobody och endast nobody har rättigheterna.
Dock kanske det inte är bra, jag vet inte hur nobody fungerar och vad som är meningen med det kontot riktigt, det var därför jag frågade ifall någon annan visste.

Tror jag har nån säkerhetsvarning på min version av sudo också, vill HELST inte behöva fixa det plus att konfa det för rättigheter för min user om jag inte har nån nytta av det sedan.

EDIT: Ofta vill jag lösa en sak på ett visst sätt, därför att jag vill göra just så eller testa om det går att göra just så, och så kommer någon och säger att "gör såhär och såhär istället". Det är ju klart att det inte alltid är just det man vill höra. Typ om jag vill få Firefox att fungara därför att jag gillar Firefox och så säger nån "kör Konqueror istället".
Lätt att få dåligt rykte här inne visst....gäller bara att ha lite egna åsikter och inte göra precis som alla andra gör

EDIT2: Haken är ju att det är nobody som kör via Samba eftersom det är public, och det är just public eftersom det är två XP-klienter med två olika users som alla ska dela lika. Hade varit perfekt om man kunnat utnyttja nobody såhär.

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Svedala
Registrerad
Apr 2002

Vill du absolut göra på ditt eget sätt så får du kanske räkna med att lösa mer själv då istället... jag har också sett ett gäng tillfällen där du har börjat ifrågasätta bra förslag istället för att testa dem. Du har fått ett förslag från mig som med 99% säkerhet lär funka, men det verkar inte duga.

I alla fall, att försöka få till någon slags filsystemssäkerthet med nobody-kontot när du kör samba public med fulla rättigheter känns ju lite... typ som att plåstra om ett skavsår när man har sågat sig i armen, för att dra till med en skum liknelse.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av nillon
Vill du absolut göra på ditt eget sätt så får du kanske räkna med att lösa mer själv då istället... jag har också sett ett gäng tillfällen där du har börjat ifrågasätta bra förslag istället för att testa dem. Du har fått ett förslag från mig som med 99% säkerhet lär funka, men det verkar inte duga.

I alla fall, att försöka få till någon slags filsystemssäkerthet med nobody-kontot när du kör samba public med fulla rättigheter känns ju lite... typ som att plåstra om ett skavsår när man har sågat sig i armen, för att dra till med en skum liknelse.

Att Samba körs public har ju bara med lokal säkerhet att göra, och jag sitter inte på något stort företag utan det är bara två burkar här, och dessutom bara deras två IP som har rätt att använda Samba.

Jaja, har lagt ut frågan på annat håll istället. Men det kanske är som du säger att nobody är osäkraste kontot och inte är tänkt att äga filer utan bara köra processer.
Men men, tanken var god iallafall
Och jag orkar inte prova, men det skulle förvåna mig om sudo funkar med nobody när inte su gör det....det känns liksom inte logiskt.

Angående övriga kritiken. Ofta är man ju inne på ett helt eget spår. Ens egna kunskaper i ämnet gör att man fått en egen vinkling på något problem, och man tänker ut en egen bana att lösa det på, och så kommer någon annan och vänder upp och ner på allt och tycker man ska göra tvärtom.
Ofta vill jag då (med vissa undantag) försöka få min ide att fungera, jag vill veta varför det inte går att göra så istället liksom, istället för att bara skriva av någon annans förslag som man inte alltid förstår vad det kommer ifrån och hur det fungerar för det är på en annan nivå.

Jaja, whatever.

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
/dev/null
Registrerad
Feb 2004

su nobody -c programnamn

Hur man installerar program i *nix | There is no Swedish conspiracy

these days you can't use the Web at 2400 baud because the ads are 24KB - Bill Joy

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Lunke
su nobody -c programnamn

-c class Use the settings of the specified login class. Only allowed for the super-user.

Jag antar att denna korta torra beskrivning betyder just det då.
Tack så mycket
Får ta och testa senare när det är mer lämpligt att starta om Lopster...

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Svedala
Registrerad
Apr 2002
Citat:

Ursprungligen inskrivet av Seb74
Och jag orkar inte prova, men det skulle förvåna mig om sudo funkar med nobody när inte su gör det....det känns liksom inte logiskt.

Då skulle verkligheten förvåna dig, eftersom det går helt utmärkt:

martin@monolith:~$ sudo -u nobody whoami
nobody

Och då är vi där igen, varför ställer du ens frågor när du inte vill prova svaren du får?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av nillon
Då skulle verkligheten förvåna dig, eftersom det går helt utmärkt:

martin@monolith:~$ sudo -u nobody whoami
nobody

Och då är vi där igen, varför ställer du ens frågor när du inte vill prova svaren du får?

Kanske därför att det skulle kräva en hel del strulande från min sida, för att prova om det ens går, och dessutom kanske hela idén är helt urkass. Eftersom det var så mycket som skulle klaffa så avvaktade jag, och nu fick jag ju ett bättre förslag så jag slipper använda sudo. Alltså gjorde jag helt rätt här.
Tack iallafall för alla förslag, både dom jag väljer att prova och dom jag för tillfället avvaktar med

Just nu är jag så glad för jag tror jag har löst problemet med avbrott/hängningar när jag kopierar via Samba, så ni får gnälla hur jävla mycket ni vill, mitt humör förstör ni inte :):):)

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Svedala
Registrerad
Apr 2002

Hade du ens bemödat dig "man sudo" hade du haft din lösning mer än ett halvt dygn tidigare, men det är ditt problem... det är bara tråkigt att försöka hjälpa till när den som ber om hjälp inte ens vill prova förslagen, så jag lägger ner här och nu.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av nillon
Hade du ens bemödat dig "man sudo" hade du haft din lösning mer än ett halvt dygn tidigare, men det är ditt problem... det är bara tråkigt att försöka hjälpa till när den som ber om hjälp inte ens vill prova förslagen, så jag lägger ner här och nu.

Jag ser det inte som någon tävling att lösa problemet så fort man kan. Väntar hellre på fler förslag, eller avvaktar och tänker över det hela lite.
I detta fall var det bra eftersom jag fick ett, för mig, bättre förslag.
Jag ska ändå inte testa än på ett tag eftersom Lopster är igång med överföringar som jag inte vill avbryta.

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
/dev/null
Registrerad
Feb 2004
Citat:

Ursprungligen inskrivet av Seb74

-c class Use the settings of the specified login class. Only allowed for the super-user.

Jag antar att denna korta torra beskrivning betyder just det då.
Tack så mycket
Får ta och testa senare när det är mer lämpligt att starta om Lopster...

Vet inte vilken man sida du läste, men för man su står det

Citat:

-c, --commmand=COMMAND
pass a single COMMAND to the shell with -c

Men som sagt sudo är smidigare än su för det du är ute efter.

Hur man installerar program i *nix | There is no Swedish conspiracy

these days you can't use the Web at 2400 baud because the ads are 24KB - Bill Joy

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av Lunke
Vet inte vilken man sida du läste, men för man su står det

Men som sagt sudo är smidigare än su för det du är ute efter.

Jodå det var "man su"....kanske funkar annorlunda i BSD?

Ja sudo kanske är smidigare om man normalt använder det.
Annars är det ju typ lika "jobbigt" att skriva bägge kommandona....dessutom lär jag bara behöva göra detta en gång varannan månad kanske beroende på hur mycket minne Lopster suger i sig med tiden

CCNA sedan juni 2006

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Jul 2001

De sant Seb74 faktiskt... Du bajsar ut många trådar me problem och frågor.. men ibland känns de lite meningslöst att hjälpa till eftersom du somsagt oftast avvisar lösningarna eller förslagen..

Tog aslångtid för banka in Xvnc lösningen hos dig vill ja minnas.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jul 2004
Citat:

Ursprungligen inskrivet av maDa
De sant Seb74 faktiskt... Du bajsar ut många trådar me problem och frågor.. men ibland känns de lite meningslöst att hjälpa till eftersom du somsagt oftast avvisar lösningarna eller förslagen..

Tog aslångtid för banka in Xvnc lösningen hos dig vill ja minnas.

Hehe, ja, men stort tack för att du lyckades. VNC rockar stenhårt

Dock är det ju inte så att man obligatoriskt måste testa alla lösningar man får, utan man får ju välja om man vill testa eller försöka med en annan lösning.
Tror dock inte det är ofta jag fått en bra lösning och sagt "NEJ! Jag vägrar!", så som vissa här försöker få det till.

Rätt löjlig personjakt, men men, jag har fått mycket hjälp här inne så jag är tacksam vad ni än säger.
Flyttar till andra BSD-forum vad gäller mina BSD-frågor dock....blir nog inte så många fler för nu funkar ju servern som den ska (förutom ftp-nedladdningar från browsers som avbryts efter 2 timmar men Opera löser ju det med sin resume).

CCNA sedan juni 2006