KeyHelp Community

Das offizielle KeyHelp Forum der Keyweb AG / The official KeyHelp forum of Keyweb AG
https://community.keyhelp.de/

Dateirechte im home-Verzeichnis der Kunden restriktiver setzen

https://community.keyhelp.de/viewtopic.php?t=14100

Page 1 of 1

Dateirechte im home-Verzeichnis der Kunden restriktiver setzen

Posted: Fri 29. Aug 2025, 09:32
by l_fish
Hallo,

ich habe gerade beim Anlegen eines neuen Kunden festgestellt, dass einige Dateien im home-Verzeichnis des Users lesbar für alle sind und damit potentiell von anderen Kunden auf demselben Server ausgelesen werden können, siehe:

Code: Select all

testkunde@keyhelptest:/home/users/testkunde$ ls -la
insgesamt 52
drwxr-xr-x 10 root      root      4096 29. Aug 09:12 .
drwxr-xr-x  5 root      root      4096 29. Aug 09:12 ..
-rw-------  1 testkunde testkunde    0 29. Aug 09:12 .bash_history
-rw-r--r--  1 testkunde testkunde  220 23. Apr 2023  .bash_logout
-rw-r--r--  1 testkunde testkunde 3526 23. Apr 2023  .bashrc
drwx------  2 testkunde testkunde 4096 29. Aug 09:12 .cache
drwx------  2 testkunde testkunde 4096 29. Aug 09:12 .config
drwxr-x---  2 testkunde www-data  4096 29. Aug 09:12 files
drwx------  2 testkunde testkunde 4096 29. Aug 09:12 .local
dr-xr-x---  2 testkunde www-data  4096 29. Aug 09:12 logs
-rw-r--r--  1 testkunde testkunde  807 23. Apr 2023  .profile
drwx------  2 testkunde testkunde 4096 29. Aug 09:12 .ssh
drwxr-x---  2 testkunde www-data  4096 29. Aug 09:12 tmp
drwxr-x---  2 testkunde www-data  4096 29. Aug 09:12 www
Es betrifft also .bash_logout, .bashrc und .profile.

Es wäre schön, wenn diese Dateien ebenfalls 600 oder 640 als Rechte bekämen (sofern das die Shell nicht stört?).

Viele Grüße,
Lars

Re: Dateirechte im home-Verzeichnis der Kunden restriktiver setzen  [GELÖST]

Posted: Fri 29. Aug 2025, 10:33
by Alexander
Hallo Lars,

Danke für den Hinweis.
Das sollte in der Regel nicht dramatisch sein, da sich dort ja eigentlich nur bash Anweisungen befinden, aber ja, sauberer wäre es, wenn diese nicht für alle lesbar sind.
Ich hab mal einen schnellen Test gemacht und er stört sich nicht an 0640.

Das wird dann mit dem kommenden Update kommen.
Alle existierenden .bash_logout, .bashrc und .profile werden dann auch im Zuge des Updates auf 0640 geändert.

Re: Dateirechte im home-Verzeichnis der Kunden restriktiver setzen

Posted: Fri 29. Aug 2025, 23:13
by l_fish
Alexander wrote: Fri 29. Aug 2025, 10:33 Das wird dann mit dem kommenden Update kommen.
Alle existierenden .bash_logout, .bashrc und .profile werden dann auch im Zuge des Updates auf 0640 geändert.
Top, Dankeschön! :)

Re: Dateirechte im home-Verzeichnis der Kunden restriktiver setzen

Posted: Sat 30. Aug 2025, 02:32
by tab-kh
Wäre es nicht noch besser, wenn User erst gar keine Rechte für die Home-Verzeichnisse anderer User hätten? Oder ist das wieder so ein chroot-Problem wie ja auch der Owner des Home-verzeichnisses? Bei meinem Standard Unix-User, dem sein Homeverzeichnis gehört, können die Keyhelp-User und auch andere Standard-User jedenfalls die entsprechenden Dateien nicht einsehen. Da sieht man mal wieder, was Sicherheitsfeatures gelegentlich an Unsicherheit erzeugen können.
All times are UTC+02:00
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited