[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: "just got hacked"

Am Freitag, 1. Dezember 2006 11:46 hub Alexander Schmehl in die Tasten:
| Hi!
|
| * Stefan Padberg <epost@stefan-padberg.de> [061201 10:16]:
| > Mich ärgert schon lange, dass ich mich als Normaluser kreuz und quer in
| > der gesamten Verzeichnishierarchie lesend bewegen kann. Das erzeugt bei
| > manchen Leuten einen völlig unnötigen Dauerreiz, irgend etwas
| > Sicherheitskritisches zu finden. Unabhängig davon, wie das umgesetzt
| > werden kann, wäre mir wohler, der Normaluser wäre komplett auf sein
| > Persönliches Verzeichnis beschränkt. Inwieweit er noch lesenden Zugriff
| > auf Verzeichnisse des 'bin''-Pfades benötigt, müßte man noch überlegen,
| > aber eigentlich benötigt er das nicht.
|
| Und wie soll er irgendein Programm starten koennen, wenn er es nicht
| lesen darf?

Man kann Programme auch starten, wenn die Rechte auf '711' gesetzt sind. Das 
finde ich vor allem bei Skripten interessant. Jede Information über die 
innere Struktur des Systems, über Verzeichnisse, Files usw. hat in den Händen 
eines Normalusers nichts zu suchen. Und die findet man ja zu Hauf in 
Shell-Skripten.


| Aber eventuell reicht es dir ja schon, die Standardshell der Schüler von
| bash auf rbash zu setzen?

Nein, rbash ist zu unsicher. Läßt sich bei mir schon durch die Eingabe 
von 'mc' überlisten. - Und außerdem reicht für die Art von Attacken, die in 
meinem Fall gefahren wurde, der Konqueror aus.

Gruß 
Stefan
Reply to: