[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [Debian]: Internet

Torsten Landschoff wrote:
> 
> On Fri, Nov 20, 1998 at 11:32:15AM -0800, Thilo Schultz wrote:
> > Hallo zusammen,
> 
> > > Wahrscheinlich wird dann aber auch kein anderer User mehr arbeiten
> > > können. Viele Dateien in /etc sind wichtig. Z.B. die /etc/hosts.
> >
> > Daran habe ich nicht gedacht. Das Problem sind eigentlich nur Dateien,
> > wo Passwörter und andere sensiebele Daten drin stehen, die nicht von
> > jedem gelesen werden dürfen. Und da sind wir beim nächsten Problem. Wenn
> > ich also diesen Net-user einrichte , dann braucht der auch Leserechte
> > auf die /etc/ppp/provider. Dort steht aber mein login in Klarschrift
> > drin. D.h. ein Angreifer kann, wenn er den Net-user knackt, diese
> > Zugangsdaten sehen und klauen, richtig? Gibts für dieses Problem eine
> > Lösung?
> 
> Mach' mal als normaler Benutzer ls -l /etc/ppp:
> 
> ls: /etc/ppp: Permission denied

Ja, hast Recht! Aber da gibt es eine Sache, die ich nicht verstehe.
Als normaler User der Gruppe "dip" kann ich nicht in /etc/ppp sehen. Die
Datei /etc/ppp/peers/provider gehört aber "dip". D.h. beim Einwählen als
normaler User, wird in der ...provider "nachgeschlagen". Wie kann ich in
ein Unterverzeichnis sehen, wenn ich aber das übergeordnete Verzeichnis
nicht öffnen kann???

Ist das die Antwort?
> Auch wenn der Benutzer in der Gruppe dip ist, wird das nichts. Die
> Zugangsdaten dort kann der pppd nur lesen, da er suid root gestartet wird, und
> somit Zugriff auf ziemlich alles auf dem Rechner hat. Es würde demnach also
> reichen, den pppd zu knacken - hoffentlich ist das nicht so einfach.

Ich glaube, pppd gehört auch "dip" ? (habs jetzt nicht vor mir)

> Ein anderes Problem ist /etc/chatscripts - die dort liegenden Skripte werden
> von chat gelesen, das nicht mit suid läuft. Damit müssen selbige mindestens
> für die Gruppe dip lesbar sein. Richtig problematisch wird das, wenn das
> Passwort noch dort eingetragen ist - dann kann man es nämlich einfach
> auslesen. 
> Da die Einwahl heutzutage aber meistens per PAP erfolgt, sollte das in den
> meisten Fällen kein Problem sein.

So ist es.

Es gibt da noch ein Zweites Problem, wo ich nicht weiter weiß.

wenn ich als normaler User online gehe, klappt alles wunderbar. wenn ich
dann im KFM irgend eine http Adresse anwähle, bekomme ich sofort die
Meldung: Verbindung mit dem Rechner xyz nicht möglich.
Wenn ich die oben beschriebene Geschichte unter root mache, dann klappt
alles. Kann mir jemand sagen, was ich ändern muß? (Es ist so, als ob der
KFM den Zugang nach draußen nicht findet.)

Viele Grüße

Thilo


------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <your_email_address>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     632
Reply to: