Re: "just got hacked"
Am Freitag, 1. Dezember 2006 11:46 hub Alexander Schmehl in die Tasten:
| Hi!
|
| * Stefan Padberg <epost@stefan-padberg.de> [061201 10:16]:
| > Mich ärgert schon lange, dass ich mich als Normaluser kreuz und quer in
| > der gesamten Verzeichnishierarchie lesend bewegen kann. Das erzeugt bei
| > manchen Leuten einen völlig unnötigen Dauerreiz, irgend etwas
| > Sicherheitskritisches zu finden. Unabhängig davon, wie das umgesetzt
| > werden kann, wäre mir wohler, der Normaluser wäre komplett auf sein
| > Persönliches Verzeichnis beschränkt. Inwieweit er noch lesenden Zugriff
| > auf Verzeichnisse des 'bin''-Pfades benötigt, müßte man noch überlegen,
| > aber eigentlich benötigt er das nicht.
|
| Und wie soll er irgendein Programm starten koennen, wenn er es nicht
| lesen darf?
Man kann Programme auch starten, wenn die Rechte auf '711' gesetzt sind. Das
finde ich vor allem bei Skripten interessant. Jede Information über die
innere Struktur des Systems, über Verzeichnisse, Files usw. hat in den Händen
eines Normalusers nichts zu suchen. Und die findet man ja zu Hauf in
Shell-Skripten.
| Aber eventuell reicht es dir ja schon, die Standardshell der Schüler von
| bash auf rbash zu setzen?
Nein, rbash ist zu unsicher. Läßt sich bei mir schon durch die Eingabe
von 'mc' überlisten. - Und außerdem reicht für die Art von Attacken, die in
meinem Fall gefahren wurde, der Konqueror aus.
Gruß
Stefan
Reply to: