Re: Black-/Whitlist für den ssh deamon

[Guido Hennecke <debian-user-german@debian.dyndns.org>]

Hallo Reinhard,

At 03.10.2002, Reinhard Foerster wrote:
> On Wed, 02 Oct 2002 16:31:12 +0200, Guido Hennecke wrote:
> > 
> > guido      380  0.0  0.6  5696  264 ?        S    Sep26   1:45 /usr/sbin/sshd
> > 
> > Beantwortet das deine Frage?
> 
> Tja, du bist halt noch nicht root. Du scheinst stolz darauf zu sein, daß
> ein Teil der ssh bei dir als guido läuft.

Kannst Du deine dummen Sprueche mal lassen?

> Du scheinst speziell auf Fall hinaus zu wollen, in dem der Teil der
> ssh gehackt wird, der bei dir als guido und sonst als root läuft.
> Schön, dann ist der Angreifer eben erstmal nur maximal guido statt
> gleich root.

Eben.

> In <woNU3.A.G6B.HUEn9@murphy> schreibst du aber sehr zutreffend:
> > Ein anderer Systemuser (root ausgenommen) kann mir sowas auch nicht          
> > unterschieben und wenn die Programme auf meinem System bereits             
> > kompromitiert sind, hat root das selbe Problem.    
> Nun ist eben jemand da, der dir was unterschieben kann. ER (der
> Angreifer), der mit deiner Variante nicht gleich root wird, sondern nur
> guido, kompromittiert die Umgebung von guido nach belieben.

Genau. Nur die dieses Users und nicht die installierten Systemprogramme.

> Wenn du dich beim nächten mal anmeldest, wirst du einem anderem su das
> Passwort geben, als du eigentlich wolltest. Oder willst du ernsthaft 
> behaupten, daß du bei JEDEM login erstmal $PATH und 1000 andere Dinge 
> des Accounts guido prüfst, bevor du su sagst? Das nimmt dir keiner ab. 

Bei dem Szenario, welches Du hier beschreibst, ist das Problem beim User
root mindestens genauso schlimm. Nur, dass der Angreifer dann gleich das
root Passwort hat und es nicht erst noch ausspioniern muss. Ausserdem
kann er direkt Systemdateien veraendern.

> Fazit: Wenn der account gefallen ist, von dem aus du regelmäßig su sagst, 
> ist damit auch der root-account selbst gefallen. Ich sehe somit auch 
> hier keinerlei Vorteile durch den Umweg über einen normalen Nutzer, im 
> Gegenteil:

Bei deinem Szenario nicht. Es gibt aber durchaus noch andere Szenarien.
Solange ein Angreifer es geschafft hat, einen normalen Useraccount zu
bekommen, hat er noch nicht die Moeglichkeit, am System zu manipulieren
und das verschafft dir wenigstens als Admin die Moeglichkeit
festzustellen, ob sich da jemand unberechtigt Zugang verschafft hat.

Kommt ein Angreifer an deine Zugangsdaten, hat er erstmal eben nur die
Moeglichkeit, einen normalen Useraccount zu nutzen und ist noch nicht
root.

Das verschafft dir zumindest einen Zeitvorteil und die _Moeglichkeit_,
es zu bemerken. Ausserdem gibt es sehr gut funktionierende
Moeglichkeiten, herrauszufinden, was veraendert wurde. Es sei hier mal
nur tripwire genannt, welches ich auch nutze. Und da wuerden
Manipulationen, solange sie nicht mit root Rechten ausgefuehrt werden,
spaetestens nach 24h auffallen.

> Bei deiner Variante kommen noch alle Unsicherheitsfaktoren dazu, die 
> sowieso mit dem account guido verbunden sind. Du hast mit deinem Umweg 
> über den normalen Nutzer lediglich die Anforderungen an den Angreifer 
> herabgesetzt. Statt "root" zu werden, muß der Angreifer nur noch 
> "root oder guido" werden, weil aus guido mehr oder weniger direkt 
> "root" folgt. Wenig sinnvoll, stimmts?

Klar, weil er bei mir nicht direkt als User root auf das System kommt,
hat er mehr Aufwand und Probleme, root zu werden, wohingegen er mit dem
selben Weg bei dir _sofort_ root ist.

Deine Aussage stimmt also schon deswegen nicht, weil er bei mir nicht
root oder guido werden kann, sondern erstmal nur guido.

Guido