Re: Black-/Whitlist für den ssh deamon

[Jörg Zimmermann <j.zimmermann@xsiteing.de>]

Hi Reinhard,

Reinhard Foerster schrieb:
> On Wed, 02 Oct 2002 16:31:12 +0200, Guido Hennecke wrote:
>
> > guido      380  0.0  0.6  5696  264 ?        S    Sep26   1:45 /usr/sbin/sshd
> >
> > Beantwortet das deine Frage?
>
>
> Tja, du bist halt noch nicht root. Du scheinst stolz darauf zu sein, daß
> ein Teil der ssh bei dir als guido läuft. Du scheinst speziell auf Fall 
> hinaus zu wollen, in dem der Teil der ssh gehackt wird, der bei dir als 
> guido und sonst als root läuft. Schön, dann ist der Angreifer eben erstmal 
> nur maximal guido statt gleich root.

Was es einem Angreifer auf alle Fälle schwerer macht.
Nicht umsonst ist man ja bemüht, Prozesse möglichst als 'nicht root' 
laufen zu lassen.
Allerdings kann ich hier auch nicht so recht den Vorteil sehen. Der 
user guido verfügt hier schon über Rechte die über die üblichen user 
Rechte hinaus gehen.

> In <woNU3.A.G6B.HUEn9@murphy> schreibst du aber sehr zutreffend:
>
>
> > Ein anderer Systemuser (root ausgenommen) kann mir sowas auch nicht          
> > unterschieben und wenn die Programme auf meinem System bereits             
> > kompromitiert sind, hat root das selbe Problem.    
>
>
> Nun ist eben jemand da, der dir was unterschieben kann. ER (der
> Angreifer), der mit deiner Variante nicht gleich root wird, sondern nur
> guido, kompromittiert die Umgebung von guido nach belieben.
> Wenn du dich beim nächten mal anmeldest, wirst du einem anderem su das
> Passwort geben, als du eigentlich wolltest. Oder willst du ernsthaft 
> behaupten, daß du bei JEDEM login erstmal $PATH und 1000 andere Dinge 
> des Accounts guido prüfst, bevor du su sagst? Das nimmt dir keiner ab. 

Nein, das braucht er doch garnicht. Mit '/bin/su' kann ein Angreifer 
$PATH solange verändern wie er will.
BTW, für die meisten Arbeiten sind gar keine root Rechte notwendig. 
Wenn es dann doch mal notwendig sein sollte, '/usr/bin/sudo'.
Damit ist es besser sich als normaler Benutzer einzuloggen und sich 
nur bei Bedarf für den jeweiligen Befehl rootrechte zu genehmigen.
Also nur da als root arbeiten, wo es unbedingt notwendig ist.

[..].

Es könnte hilfreich sein in der sshd_config PermitRootLogin auf no 
oder zumindest auf 'without-password' zu setzen.
Über die Datei authorized_keys wäre es weiterhin möglich den root 
account auf die unbedingt notwendigen Befehle zu beschränken.

> Bei deiner Variante kommen noch alle Unsicherheitsfaktoren dazu, die 
> sowieso mit dem account guido verbunden sind. Du hast mit deinem Umweg 

Welche da wären?





mit freundlichen Grüßen

Jörg Zimmermann
--
.xsiteing agentur für netzkommunikation
42103 wuppertal - friedrich-ebert-str. 34
tel: 0202 / 309 707 10 - fax: 0202 / 309 707 15