Hallo, da ich auf meinem Router moeglichst wenig Programme mit gesetzten suid Bit haben moechte, habe ich mich mal an die Arbeit gemacht herraus zu finden wofuer die im einzelnen gebraucht werden. Jetzt habe ich ein paar Fragen: "find / -type f \( -perm -04000 -o -perm -02000 \)" (als root) hat mir erstmal eine lange Liste von Dateien und zwei Fehlermeldungen zurueck gegeben. [...] find: /proc/718/fd/: Permission denied find /proc/1308/fd/4: No such file or directory # ls -l /proc/718/ [...] dr-x------ 2 root root 0 Apr 12 04:25 fd [...] Als root kann ich das Verzeichnis weder oeffenen noch beschreiben. Kann mir jemand sagen was es damit auf sich hat? [suid bits entfernen] Bei folgenden Programmen hab ich das suid bit schon entfernt: /usr/bin/ssh (suid wird nur fuer RhostAuth gebraucht) /usr/bin/vboxbeep (brauche ich nicht) /usr/bin/write /bin/ping Bei ping und write bin ich mir aber nicht 100% sicher ob das auch wirklich ok ist. Wer weiß es besser? Wenn man bei /usr/lib/mc/bin/cons.saver das suid Bit entfernt und mc als user startet, haengt mc. Da cons.saver AFAIK nur ein screen-saver ist, habe ich das binary einfach geloescht. Weiß jemand ob mc sich daran stoert (funktionieren tut er) und ob cons.saver noch irgendwo anders benoetigt wird? Das beste waere natuerlich wenn man mc abgewoehnen koennte den cons.saver zu benutzen... /usr/bin/crontab : AFAIK muss /usr/bin/crontab nur suid sein wenn andere user als root cronjobs starten muessen. Bei mir waere das nur "mail" und zwar mit: 08,38 * * * * mail if [...] then /usr/sbin/exim -q >/dev/null 2>&1; fi Ist dieser cronjob wirklich noetig auf einem System das nur lokale Mail ausliefert und empfaengt? Laut einer Doku auf http://www.linux.com/security/newsitem.phtml?sid=11&aid=3668 koennen die suid Bits bei folgenden Programmen entfernt werden: /usr/bin/wall /usr/bin/newgrp /usr/bin/chage /usr/bin/chfn /usr/bin/chsh /usr/bin/gpasswd /usr/bin/at /usr/lib/man-db/man /bin/mount /bin/umount /usr/lib/pt_chown /bin/login Kann das jemand bestaetigen? Ich habe irgendwo gelesen dass /bin/login nur suid sein muss wenn man su benutzen moechte. Bei Debian scheint dies aber anders zu sein... /bin/su /usr/bin/passwd Die beiden muessen suid bleiben, dass ist klar. So, jetzt bleiben noch eine menge Programme bei denen ich mir nicht sicher bin bzw. nur ungenaue Infos darueber gefunden habe inwiefern das suid Bit benoetigt wird. Ich bin euch fuer jedes Kommentar dankbar: /usr/sbin/exim /usr/lib/man-db/mandb /sbin/unix_chkpwd /bin/ping6 /usr/sbin/pppd /usr/bin/dotlockfile /usr/bin/traceroute6 /usr/bin/expiry Letzte Frage: Sind suid Verzeichnisse eine Sicherheitsluecke? IMHO nicht. Vielen Dank schon mal fuer eure Hilfe! URLs zum Thema sind natuerlich auch willkommen. BTW: Wenn ich hiermit fertig bin, werde ich eine Doku ueber die suid root Programme einer Debian standard Installation schreiben. Das sind naemlich viel zu viele... PS: Wenn diese Mail entwas durcheinander ist liegt es an der Uhrzeit. Sorry. Gruss Janto -- Janto Trappe Germany /* rapelcgrq znvy cersreerq! */ GnuPG-Key: http://www.sylence.de/gpgkey.asc Key ID: 0x8C53625F Fingerprint: 35D7 8CC0 3DAC 90CD B26F B628 C3AC 1AC5 8C53 625F
Attachment:
pgpeaisV1TsqE.pgp
Description: PGP signature