[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Black-/Whitlist für den ssh deamon

Hallo Reinhard,

At 04.10.2002, Reinhard Foerster wrote:
> On Thu, 03 Oct 2002 20:51:05 +0200, Guido Hennecke wrote:
> > Klar, weil er bei mir nicht direkt als User root auf das System kommt,
> > hat er mehr Aufwand und Probleme, root zu werden, wohingegen er mit dem
> > selben Weg bei dir _sofort_ root ist.
> Nur unter welchen Bedingungen kann es dazu kommen? Du ignorierst die
> Folgen aus dem gefallenen account guido und vernachlässigst die    
> zusätzlichen Angriffsmöglichkeiten durch den 2. account.

Nein, ich bin mir der Gafahren bewusst.

Es ist aber ein Unterschied, ob ein Angreifer _sofort_ root werden kann
oder mit dem selben Angriff nur ein normaler Account faellt.

Das man deswegen noch lange nicht sicher ist, das ist wohl jedem klar.
Ein Unterschied bleibt trotzdem.

Oder wozu benutzen wir alle ein Multiusersystem?

> Nebenbei verdrängst du nach wie vor die Tatsache, daß es keine
> Möglichkeit gibt, von einem kompromittierten account aus root zu werden,
> ohne den root account ebenfalls zu kompromittieren.

Wie bitte?

Sicher gibt es die. Und das habe nichtmal ich hier beschrieben.

> Daraus folgt
> unmittelbar, daß alle accounts, die du auf dem Weg zu einem root account
> zwischenschaltest, genauso wichtig wie der root account selbst sind.

Das ist falsch.

Oder warum benutzt Du ueberhaupt ein Multiuser System?

Btw.: Darf bei dir _jeder_ einfach root werden?

> Du
> kannst also bei einer Risikoanalyse diese "Zwischen-Accounts" als 
> zusätzliche root accounts betrachten.

Nein, das kann man so nicht.

Ein Account von dem aus man root werden darf ist sicher ein deutlich
privilegierter Account. Zwischen diesem und root liegt aber mindestens
noch das root Passwort.

Bei direktem root Login, hast Du eben nicht erstmal nur einen User
Account sondern bist sofort root. Also wenn Du den Unterschied nicht
siehst, dann koennen wir die Diskussion auch gleich lassen.

Bitte arbeite dann nur noch als root, schliesslich wuerdes Du nach
deiner Theorie mit zusaetzlichen Benutzeraccounts ja lediglich die
Angriffsflaecher vergroessern. In was fuer einem Film bin ich hier
ueberhaupt?

> Dein account "guido" ist somit in deinem Szenarion nicht irgendein 
> popeliger user account, sonder ein account, von dem aus jemand 
> regelmäßig root wird. Das ist ein himmelweiter Unterschied.

Das bestreite ich nicht. Ein Angreifer, der den Account guido bekommen
hat, ist aber trotzdem erstmal nur mit diesen Rechten unterwegs und
sonst mit nichts.

Wenn Du dich direkt als user root anmeldest, ist der Angreifer bei
gleichem Angriff sofort root.

Wenn Du da keinen Unterschied siehst und dir da nicht helfen kannst,
dann koennen wir die Diskussion abbrechen.

> Vielleicht hilft dir folgende Erweiterung deines "Sicherheitsmodells" auf
> die Sprünge:
> 
> Nach deinem Modell bist du noch sicherer, wenn du statt
> "ssh guido@host; su root" folgendes machst:
> "ssh user1@host; su user2; su user3; ... ; su userN; su guido; su root"
> (mit alle userX paarweise verschieden)

Depp
Reply to: