Hallo Forum,

habe da ein Problem mit Symlinks die über Scriptsprachen angelegt werden. Im
Ordner des einen Users ist ein Symlink anlegbar der auf die Datei eines
anderes Users im anderen Homeverzeichnis abzielt.Aus verschiedenen Gründen
gehören User zur gleichen Gruppe bzw. genügt es ja wenn die Dateien
des anderes Users group/worl-readable sind um den Symlink erfolgreich zu
setzen und den Dateiinhalt zu lesen. Ich würde dies gern OS nah oder gar
im Filesystem unterbinden so das ich mich nicht um jede Scriptsprache etc
kümmern muß. Als Filesystem nutze ich xfs, hier kenne ich mich aber zu
wenig aus. Existiert vielleicht eine Art aktivierbare System policy mit der
ich Befehle für den StandardUser blocken kann wenn diese auf ein anderes
Home zeigen. Oder möglicherweise auch ein Einsperren des Users auf sein
zugewiesenes Home ohne Befehle zu sperren. Es muss halt OS nah
stattfinden da die Blockade auch für Scriptsprachen aktiviert sein soll,
nicht nur für den Shellbefehl an sich.
Bin hier leider etwas ratlos, bin für gute Tipps dankbar.

verwendetes System Suse 10.1
Danke
Odium

Servus,

hab was bei Suse zu den ACLs gefunden:
http://www.suse.de/~agruen/acl/chapter/fs_acl-de.pdf
Funktioniert ganz gut. Allerdings such ich nun ne Möglichkeit eben nicht einen weiteren User auf einen Ordne rzuzulassen sondern eher alles auser dem eigentlichen owner zu sperren auch wenn der chmod ein world-readable zulässt.
Ich kann ja wieder hier berichten falls ich was finde, bins ja schon gewohnt das ich meine Probleme meist alleine lösen muss ;)

Odium

chmod stellt auch eine Art ACLs dar. Wenn nur der bestimmte User da rein soll,
kann man auf sein $HOME chmod 000 setzen und ihn erst per ACLs wieder zulassen.

auch eine möglichkeit, aber erfordert nacharbeit und ist zudem verwirrend.
könnt ja selbe rmal beu euch auf dem webserver testen. erstellt einen symlink egal wie
das ziel sollte eine datei sein die lesbar ist für den apache, die datei kann aber ruhig außerhalb des homeverzechnisses liegen
solange ihr in eurer httpd.conf allowoverride all aktiviert habt dann habt ihr ein potenzielles sicherheitsproblem da man für den apachen dann followsymlinks aktivieren kann. solange start und ziel des symlinks für den apachen lesbar ist liefert er die datei aus, fremdes php oder systemdateien die worldreadable sind auch im quellcode...