"just got hacked"
Hallo!
Heute morgen fand ich auf meinem Skolelinux-Desktop in der Schule die
freundliche Mitteilung einiger Schüler, dass sie sich in den Besitz von
mehreren Dutzend Passwörtern hatten bringen können, u.a. auch das
root-Passwort. Letzteres hätten sie auch verändert. Netterweise hinterliessen
sie auch eine Telefonnummer für "kostenpflichtigen Hotline-Support".
Meine Untersuchung ergab, dass eine Reihe von Passwörtern in Textdateien
im '/root'-Verzeichnis standen und dass das '/root'-Verzeichnis für jeden
lesbar war. Die sicherheitskritischen Dateien standen dort noch aus uralten
Zeiten, als das System von einer Maschine auf eine andere umzog. Es waren
also zum großen Teil ältere Daten, die entsprechenden Schüler zum Teil gar
nicht mehr an der Schule. Ob der Systemadministrator (also ich) oder
derjenige, der damals die Migration durchgeführt hat, dieses Scheunentor
offen gelassen hat, läßt sich heute wahrscheinlich gar nicht mehr mit
Sicherheit feststellen.
Ärgerlich war, dass in einem Migrations-Skript das neue root-Passwort
drinstand. Damit war den Schülern ihre Siegestrophäe sicher.
Das ganze läuft also unter der Kategorie "Menschliches Versagen gegen
sportlichen Ehrgeiz". Es hätte aber auch anders kommen können. Zum Glück
haben wir auf dem Server noch keine Lehreraccounts. Das wäre ziemlich
katastrophal gewesen, wenn Lehreraccounts in Mitleidenschaft gezogen worden
wären, und hätte dem Ruf des Systems sehr geschadet.
Wenn ich über Konsequenzen nachdenke, so fällt mir sofort Folgendes ein:
Mich ärgert schon lange, dass ich mich als Normaluser kreuz und quer in der
gesamten Verzeichnishierarchie lesend bewegen kann. Das erzeugt bei manchen
Leuten einen völlig unnötigen Dauerreiz, irgend etwas Sicherheitskritisches
zu finden. Unabhängig davon, wie das umgesetzt werden kann, wäre mir wohler,
der Normaluser wäre komplett auf sein Persönliches Verzeichnis beschränkt.
Inwieweit er noch lesenden Zugriff auf Verzeichnisse des 'bin''-Pfades
benötigt, müßte man noch überlegen, aber eigentlich benötigt er das nicht.
In einem solcherart konfigurierten System kann es auch kein 'pub'-Verzeichnis
geben, da man ja von außen darauf nicht zugreifen könnte. Andere
Möglichkeiten der server- bzw. netzwerkinternen Kommunikation müßten
stattdessen zur Verfügung gestellt werden. Ich denke hier vor allem an
Groupware-ähnliche Möglichkeiten über ein Webinterface.
Für das Unterrichten ist es bei uns zunehmend auch so, dass das Bedürfnis
entsteht, für den jeweiligen Unterricht speziell konfigurierte Lernumgebungen
zu haben, damit man nicht ständig die Schüler davon abhalten muss, zu surfen
oder zu spielen. Damit würde dann auch die Notwendigkeit entfallen, von
Lehrerseite aus die Unterrichtsmaterialen in einem 'pub'-Verzeichnis zur
Verfügung zu stellen. Wie sind die Erfahrungen mit 'moodle' in diesem
Zusammenhang?
Über sachdienliche Vorschläge würde ich mich freuen.
Gruß
Stefan Padberg
Rudolf Steiner Schule Wuppertal
Reply to: