Re: find / wo werden suid bits benoetigt?

To: debian-user-de@jfl.de
Subject: Re: find / wo werden suid bits benoetigt?
From: Andreas Metzler <ametzler@downhill.at.eu.org>
Date: 19 Apr 2001 07:58:54 GMT
Message-id: <[🔎] 9bm5ru$148$1@downhill.at.eu.org>
References: <[🔎] 20010412053033.A7196@sylence.de>

Janto Trappe <list@sylence.de> wrote:
> da ich auf meinem Router moeglichst wenig Programme mit gesetzten
> suid Bit haben moechte, habe ich mich mal an die Arbeit gemacht
> herraus zu finden wofuer die im einzelnen gebraucht werden.


> Bei folgenden Programmen hab ich das suid bit schon entfernt:
[...]
> /bin/ping

> Bei ping und write bin ich mir aber nicht 100% sicher ob das auch
> wirklich ok ist. Wer weiß es besser?

ping funktioniert dann nicht mehr. (ausser wenn root es aufruft).
[snip]
> /usr/bin/crontab :

> AFAIK muss /usr/bin/crontab nur suid sein wenn andere user als root
> cronjobs starten muessen. Bei mir waere das nur "mail" und zwar mit: 

> 08,38 * * * *   mail   if [...] then /usr/sbin/exim -q >/dev/null 2>&1; fi

> Ist dieser cronjob wirklich noetig auf einem System das nur lokale
> Mail ausliefert und empfaengt?

Nein, nicht wenn exim die Mail (wie ueblich) normalerweise sofort
zuzustellen versucht.

> Laut einer Doku auf
> http://www.linux.com/security/newsitem.phtml?sid=11&aid=3668 koennen
> die suid Bits bei folgenden Programmen entfernt werden:

> /usr/bin/wall
> /usr/bin/newgrp
> /usr/bin/chage
> /usr/bin/chfn
> /usr/bin/chsh
> /usr/bin/gpasswd
> /usr/bin/at
> /usr/lib/man-db/man
> /bin/mount
> /bin/umount

Das hat eben alles den Effekt, dass die Programme fuer normale
Benutzer unbrauchbar sind.

[snip]
> /usr/sbin/exim

exim muss auf Port 25 lauschen, dafuer muss es als root laufen, wenn
du das suid-Bit entfernst, kastrierst du den Funktionsumfang
nachhaltig, da es den Zustellungsprozess nicht mehr als user
ausfuehren kann (es hat ja keine Moeglichkeit nachher wieder root zu
werden). Vielleicht solltest du postfix oder qmail verwenden.
[snip]

Du solltest eines bedenken: Wenn du Programme durch das Entfernen von
suid-Root nur mehr fuer Root benutzbar machst, wirst du sehr viel mehr
als root arbeiten, das ist imho im Endeffekt unsicherer (Vertippen).
         cu andreas
-- 
Uptime: 10 seconds  load average: 0.00, 0.00, 0.00
vim:ls=2:stl=***\ Sing\ a\ song.\ ***


-- 
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

794 eingetragene Mitglieder in dieser Liste.

Reply to:

Follow-Ups:
- Re: setuid root / exim alternative (was :find / wo werden suid...)
  - From: Janto Trappe <list@sylence.de>

References:
- [Debian] find / wo werden suid bits benoetigt?
  - From: Janto Trappe <list@sylence.de>

Prev by Date: Re: /home-Rechte?
Next by Date: [Debian] Nachtrag: Re: PGP Nutzung in der Gruppe
Previous by thread: Re: [Debian] find / wo werden suid bits benoetigt?
Next by thread: Re: setuid root / exim alternative (was :find / wo werden suid...)
Index(es):
- Date
- Thread