[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]: anonymous login !?



On Feb 27, Roland Baer wrote:
> 
> Hallo,
> 
> >  ... wo bekomme ich ein statisch gelinktes ls her (wenn man den source 
> > von ftp.debian  saugt hat man ja denselben mist *sorry* wieder :)
> > 
> > oder geht alles wieder mal viel einfacher und ich weiss es bloss nicht :))
> 
> Mach dir ein statischen link fuer die benotigten Dateien, spart Platte.
> 
> ldd /bin/ls spuckt	
> libc.so.5 => /lib/libc.so.5.4.22
> aus.
> 
> Also als root
> cd FTPROOT
> ln /bin/ls bin/ls
> ln /lib/libc.so.5.4.22 lib/libc.so.5.4.22
> cd lib
> #Jetzt ein symbolischer Link, stimmt so
> ln -s libc.so.5.4.22 /lib/libc.so.5

Fuer den Rechner zuhause ist die Methode ok, aber mach sowas nie bei
einem oeffentlich zugaenglichen Rechner :-). Normalerweise sorgt beim
anonymous ftp ein chroot dafuer, dass ein "Angreifer" nur die Daten
innerhalb der chroot Umgebung beschaedigen kann. Legt man fuer
anonymous ftp die libc als hardlink zu der system-libc an, so kann
der "Angreifer" eventuell damit auch die libc des normalen Systems
manipulieren/ersetzen.

BTW: bei dem Debian wu-ftpd ist ein Skript namens "addftpuser" dabei,
welches einen anonymous ftp account automatisch anlegt (inkl. binaries
und libs).


munter bleiben

Peter

-- 
Peter Tobias <tobias@et-inf.fho-emden.de> <tobias@debian.org> <tobias@linux.de>
PGP ID EFAA400D, fingerprint = 06 89 EB 2E 01 7C B4 02  04 62 89 6C 2F DD F1 3C 
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <your_email_address>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     386


Reply to: