Chmod 700 Problem

Hallo zusammen,

(Tut mir leid wenn mein Deutsch ein wenig seltsam wirkt, Ich bin kein Deutscher).

Wenn Ich

sudo chmod 700 /home/$user

im Terminal eingebe (Madaidans Hardening Guide), ist alles i.O, aber wenn Ich meinen Laptop neustarte, kann Ich nicht mehr einloggen. Mein Passwort wird nicht mehr akzeptiert, aber mit Ctrl + Alt + F5, geht es und wenn Ich dann

sudo chmod 0755 /home/$user

eingebe, kann Ich auch wieder bei ein Neustart einloggen und bis zum Desktop booten.

Was mache Ich falsch?

Und zweitens, schutz diese Änderung nur gegen andere Benutzer, oder auch gegen Online-Bedrohungen? Wenn das letzte nicht der Fall ist dann brauche Ich es gar nicht zu implimentieren.

Madaidan:

Einige weitere Beispiele sind /boot, /usr/src und /{,usr/}lib/modules — diese enthalten das Kernel-Image, System.map und verschiedene andere Dateien, die alle vertrauliche Informationen über den Kernel preisgeben können. Um den Zugriff darauf einzuschränken, führen Sie Folgendes aus:

chmod 700 /boot /usr/src /lib/modules /usr/lib/modules

Macht es Sinn für ein Desktop/Home User solche Massnahmen zu treffen?

Danke!

Ich kann das Problem auf meinem System nicht reproduzieren. Vielleicht solltest Du erwähnen welche Distribution mit welchem Desktop-Environment und Display-Manager du betreibst.

1 „Gefällt mir“

Mit Strg + Alt + F5 bootest du in eine Konsole. Da hier die Anmeldung funktioniert, scheinen bei deinen restriktiven Einstellungen des Home-Verzeichnisses die GUI-Prozesse nicht mehr auf die benötigten Ressourcen in deinem Home-Verzeichnis zugreifen zu können, da sie unter einem anderen Benutzerkontext laufen. Mit 700 erlaubst du nur deinem Benutzer (bzw. dem Benutzer, in dessen Kontext der Befehl ausgeführt wurde), auf den Inhalt deines Home-Verzeichnisses zuzugreifen. Kein anderer Benutzer und damit auch kein Prozess, der unter einem anderen Benutzerkontext läuft, hat Zugriff auf die Daten. Nicht einmal Lesezugriff. Das erklärt deine Probleme.

Diese Einstellungen sind kein Schutzmechanismus gegen Online-Angriffe oder Malware, die bereits unter dem Benutzerkonto ausgeführt wird. Sobald ein Angreifer Zugriff auf das Konto hat (z.B. durch Remote Exploit), hat er die gleichen Rechte wie der legitime Benutzer.

Diese Verzeichnisse enthalten wichtige Systemdateien, einschließlich Kernelmodulen und Boot-Konfigurationsdateien. Diese Dateien und Verzeichnisse müssen für das System zugänglich sein, damit das System ordnungsgemäß hochfährt und der Kernel funktioniert. Werden die Zugriffsrechte auf 700 geändert, bedeutet dies, dass nur noch root darauf zugreifen kann. Dies hat zur Folge, dass normale Systemprozesse (die möglicherweise nicht als root ausgeführt werden) nicht mehr in der Lage sind, auf die benötigten Dateien zuzugreifen, was den Systemstart verhindern oder andere schwerwiegende Probleme verursachen kann.

Fazit:

Für den durchschnittlichen Linux-Anwender sind diese Maßnahmen völlig überzogen. Es handelt sich um Empfehlungen, die in Hochsicherheitsumgebungen sinnvoll sein können, aber mit erheblichen Einschränkungen verbunden sind. Wenn du zu einem gefährdeten Personenkreis gehörst, solltest du professionellen Rat einholen. Du wirst so viele Fehler bei der Konfiguration machen, dass wesentliche Dinge sicher nicht berücksichtigt werden. Die Empfehlungen des Autors der verlinkten Seite müssen mit viel Erfahrung umgesetzt werden. Das würde ich mir nicht zutrauen.

HTH CD

4 „Gefällt mir“

@Cyberduck

Dankeschön! Man wird als fortgeschrittene Anfänger :wink: sehr verunsichert durch solche Empfelungen von z.B. Madaidan, als ob man nackt durch die Gegend lauft. :crazy_face: Solche klare Antworten brauchen Leute wie Ich mehr. Danke!

MXLinux 23.2 Minimal (Debian 12 bookworm), XFCE, LightDM (warscheinlich).

Obwohl Ich alles wieder zurücktgesetzt habe auf 755, bekomme Ich immer noch ein Fehler mit Firejail:

main libvlc error: cannot open config file (/home/Userxxxx/.config/vlc/vlcrc): Permission denied

main playlist export error: could not create playlist file /home/Userxxxx/.local/share/vlc/ml.xspf.tmp5: Permission denied

Bei Thunar kann Ich lesen bei Access: Read und Write Eigenschaften>Berechtigungen: nur Read-only

In den allermeisten Fällen ist ein unverbasteltes und aktuell gehaltenes Linux ausreichend. Je weniger installiert ist, desto besser. Die Sicherheit fängt bereits hier an. Updates einspielen und nur die notwendigen Tools aus seriösen Quellen installieren. Für den Normalanwender sind unsichere Browser mit unnötigen Plugins auf unseriösen Webseiten meist das Hauptproblem. Hinzu kommt der sorglose Umgang mit E-Mail-Anhängen. Wenn es etwas mehr Sicherheit durch Anonymität sein darf, wäre ein VPN empfehlenswert oder bei noch größerem Paniklevel ein Tor-Browser, aber das schränkt das Surfen schon erheblich ein. Zum Teil durch hohe Sicherheitseinstellungen des Browsers und auch durch eine deutlich geringere Performance. Alles eine Frage der Abwägung.

Zwei Fragen: Wem gehören die Dateien (ls -l sollte etwas wie deinbenutzer:deinbenutzer ausgeben). Und welche Berechtigungen haben die Ordner, in denen die Dateien liegen? Es könnten auch ACLs auf die Dateien wirken, die die UNIX-Berechtigungen überschreiben.

Tipp:

Solche Stunts, wie du sie auf deinem System ausprobiert hast, macht man zuerst auf Testsystemen. Installiere Virtualbox und richte dort ein virtuelles Linux ein, mit dem du solche Dinge in einer sicheren Umgebung ausprobieren kannst. Das erspart dir viel Ärger.

HTH CD

1 „Gefällt mir“

Da hast du ja gut auf Madaidan gehört, bei der OS- und DE-Auswahl.

Eine klare Aussage macht es noch lange nicht richtig.

Mit Hochsicherheitsumgebungen haben die nicht viel zu tun, jedes Google Pixel hat da mehr Sicherheit. Es ist eher ein Versuch aus der schlechten Situation das Beste zu machen.

Scheint ja ein tolles OS zu sein, wenn eine sinnvolle Änderung, die insbesondere für Multi-Benutzer-OSe wichtig ist, den Login kaputt macht.

1 „Gefällt mir“

ls -l /home/Userxxxx/.config/vlc/vlcrc:

-rw-r--r-- 1 Userxxxx Userxxxx 85864 5 jul 2021

ls -l /home/Userxxxx/.local/share/vlc/ml.xspf

-rw-r--r-- 1 Userxxxx Userxxxx 296 26 aug 17:50

Mike selber empfehlt MX Linux für Anfänger. Dabei sind Rolling Releases vielleicht besser, aber das ist eine andere Diskussion.

Vielleicht liegt es daran, das Ich ein Minimal Version benutze. Die wird zwar von ein paar Devs unterstützt, aber nicht offiziel.

Schau mal ob du im Verzeichnis /home/Userxxxx/.config/vlc/ eine Datei anlegen und wieder löschen kannst:

touch /home/Userxxxx/.config/vlc/test
rm /home/Userxxxx/.config/vlc/test

Wenn das geht, stimmt etwas anderes mit den Dateien nicht, wenn es nicht geht stimmen irgendwo die Berechtigungen im Pfad noch nicht.

HTH CD

Das geht. Was könnte es sein?

Edit: Es ist warscheinlich ein Problem mit Firejail selber, und die Änderungen mit |Chmod haben damit nichts zu tun.

Dann liegt der Fehler tiefer. Es wird schwierig sein, das mit einer Ferndiagnose herauszufinden. Du scheinst das Programm auch in einer Sandbox (Firejail) zu betreiben. Da wird man sich durch die Logfiles durcharbeiten müssen. Ich würde eher empfehlen, das System entweder auf Default zurückzusetzen. Keine Ahnung was da noch für „Sicherheitsfeatures“ mitspielen.

1 „Gefällt mir“

Es ist ein Firejail Problem. Wenn Ich:

firejail --noprofile vlc 

eingebe, öffnet VLC ohne Problemen. Schade das Firejail nicht richtig funktioniert.

Erweiterung: Bei Firejail muss man dazu auch noch Firejail-profiles installieren (wird von der PacketManager nicht angegeben).