[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: "just got hacked"

Hallo Stefan,

Am Freitag, 1. Dezember 2006 10:16 schrieb Stefan Padberg:

> Heute morgen fand ich auf meinem Skolelinux-Desktop in der Schule die
> freundliche Mitteilung einiger Schüler, dass sie sich in den Besitz von
> mehreren Dutzend Passwörtern hatten bringen können, u.a. auch das
> root-Passwort. Letzteres hätten sie auch verändert. Netterweise
> hinterliessen sie auch eine Telefonnummer für "kostenpflichtigen
> Hotline-Support".
>
> Meine Untersuchung ergab, dass eine Reihe von Passwörtern in Textdateien
> im '/root'-Verzeichnis standen und dass das '/root'-Verzeichnis für jeden
> lesbar war. Die sicherheitskritischen Dateien standen dort noch aus uralten
> Zeiten, als das System von einer Maschine auf eine andere umzog. Es waren
> also zum großen Teil ältere Daten, die entsprechenden Schüler zum Teil gar
> nicht mehr an der Schule. Ob der Systemadministrator (also ich) oder
> derjenige, der damals die Migration durchgeführt hat, dieses Scheunentor
> offen gelassen hat, läßt sich heute wahrscheinlich gar nicht mehr mit
> Sicherheit feststellen.
>
> Ärgerlich war, dass in einem Migrations-Skript das neue root-Passwort
> drinstand. Damit war den Schülern ihre Siegestrophäe sicher.
>
> Das ganze läuft also unter der Kategorie "Menschliches Versagen gegen
> sportlichen Ehrgeiz". Es hätte aber auch anders kommen können. Zum Glück
> haben wir auf dem Server noch keine Lehreraccounts. Das wäre ziemlich
> katastrophal gewesen, wenn Lehreraccounts in Mitleidenschaft gezogen worden
> wären, und hätte dem Ruf des Systems sehr geschadet.
>
> Wenn ich über Konsequenzen nachdenke, so fällt mir sofort Folgendes ein:
>
> Mich ärgert schon lange, dass ich mich als Normaluser kreuz und quer in der
> gesamten Verzeichnishierarchie lesend bewegen kann. Das erzeugt bei manchen
> Leuten einen völlig unnötigen Dauerreiz, irgend etwas Sicherheitskritisches
> zu finden. Unabhängig davon, wie das umgesetzt werden kann, wäre mir
> wohler, der Normaluser wäre komplett auf sein Persönliches Verzeichnis
> beschränkt. Inwieweit er noch lesenden Zugriff auf Verzeichnisse des
> 'bin''-Pfades benötigt, müßte man noch überlegen, aber eigentlich benötigt
> er das nicht.
>
> In einem solcherart konfigurierten System kann es auch kein
> 'pub'-Verzeichnis geben, da man ja von außen darauf nicht zugreifen könnte.
> Andere
> Möglichkeiten der server- bzw. netzwerkinternen Kommunikation müßten
> stattdessen zur Verfügung gestellt werden. Ich denke hier vor allem an
> Groupware-ähnliche Möglichkeiten über ein Webinterface.
>
> Für das Unterrichten ist es bei uns zunehmend auch so, dass das Bedürfnis
> entsteht, für den jeweiligen Unterricht speziell konfigurierte
> Lernumgebungen zu haben, damit man nicht ständig die Schüler davon abhalten
> muss, zu surfen oder zu spielen. Damit würde dann auch die Notwendigkeit
> entfallen, von Lehrerseite aus die Unterrichtsmaterialen in einem
> 'pub'-Verzeichnis zur Verfügung zu stellen. Wie sind die Erfahrungen mit
> 'moodle' in diesem Zusammenhang?
>
> Über sachdienliche Vorschläge würde ich mich freuen.
Einfach die richtigen Rechte setzen:
drwx------  26 root root 1032 2006-12-01 10:47 root

Mit dem Konqueror auf das Verzeichnis root - rechte 
Maustaste "Eigenschaften" - auf "Erweiterte Berechtigungen" - nur der 
Eigentümer darf alles (erste Zeile r-w-x aktivieren) - ok - dann die 
Option "Änderung auf alle Unterordner und ihre Inhalte anwenden" aktivieren 
und mit OK bestätigen. Das wars...

Gruß Harald
> Gruß
> Stefan Padberg
> Rudolf Steiner Schule Wuppertal
Reply to: