Re: pppstats und console...
On Mon, Jan 27, 2003 at 04:07:42PM +0200, Michelle Konzack wrote:
> Hallo Christian,
>
> Am 11:51 2003-01-27 +0100 hat Christian Knoke geschrieben:
>
> >> >Ein user hat eine ganze Menge Rechte. Mann kann ja auch remote versuchen
> >> >einzudringen und dann mit "su - pppstatus" eine Shell zu bekommen. Ich
> >> >würde es nicht machen.
> >>
> >> und dann ? - taucht bei ihm der pppstatus Monitor auf...
> >
> >... und er drückt <ctrl>-Z
>
> dafuer gibt es 'respawn' ;-))
Äh? Wenn ich hier einen user anlege ohne Passwort, und in die .bash_profile
einen Befehl schreibe, kann ich ihn mit ctrl-c abbrechen und lande in der
shell, auch wenn dahinter ein exit steht.
ctrl-z unterbricht einen job und aktiviert die im Hintergrund noch laufende
Shell wieder, siehe man bash.
Wenn Du in .bash_profile wenigstens "exec pppstatus" schreiben würdest,
ginge das nicht mehr (weil die shell dann nicht mehr läuft, siehe help
exec).
Ein Angreifer könnte immer noch versuchen, die Ausführung von .bash_profile
zu verhindern, und hätte dann eine Shell.
respawned wird doch erst, wenn der ganze Job (inklusive shell) endet.
> >> User-Name eingeben ist nervig, denn solange pppstatus nicht gestartet
> >> ist, zaehlt er keine traffic. - Sprich unbemerkter Stromausfall mit
> >> reboot startet den pppstatus nicht.
> >
> >Hhm, warum soll pppstatus denn auf einer Console *laufen*? Der User könnte
> >ja auch <ctrl>-C drücken, und die Abrechnung wäre futsch. Reicht es nicht,
> >das Programm auf die Konsole *ausgeben* zu lassen?
>
> Nee, denn da blizt es nur einmal auf dem Monitor und dann wird
> weitergezaählt.
Keine Ahnung was "pppstatus" tut. Wenn es kontinuierlich Verbindungs-
daten ausgibt (was ich aus Deiner Beschreibung herauszulesen glaubte),
ist es kein Problem. Dann besteht auch kein Grund, dort einen user
einzuloggen.
> >> >Jetzt habe ich:
> >> >
> >> >6:2345:respawn:/sbin/agetty -n -l /bin/commwrap 38400 tty6
>
> Frage: wo gibt es 'agetty' ??? Habe jede menge getty's auf meinem
> NFS-Server gefunden (BO bis WOODY) aber kein agetty.
Weiss ich nicht. Author ist Herr Venema.
> >> >mit:
> >> >chris@max:~> cat /bin/commwrap
> >> >#!/bin/sh
> >> >exec /bin/su - commterm
> >> >
> >> >Die Vorteile sind: es ist keine Shell mehr offen, der user commterm
> hat ein
> >> >gutes Passwort, und hat auch keine Shell, da ich in /etc/passwd
>
> Ohne shell keine Anzeige auf dem bildschirm...
Nicht doch, Du kannst stdin/out jedes Programms auf eine virtuelle
Konsole umlenken (z.B. /dev/tty2), Du musst nur die Rechte des device
richtig setzen. Kann sein, das es mit tty1 Probleme gibt, weil es die
Hauptkonsole ist, und noch für andere Dinge benutzt wird. Such dir ein
tty?, das frei ist, deaktiviere es in inittab.
> Michelle
Gruß
Christian
--
Christian Knoke * * * http://www.enter.de/~c.knoke/
* * * * * * * * * Ceterum censeo Microsoft esse dividendum.
Reply to: