Re: remote x nur für bestimmte benutze

To: debian-user-german@lists.debian.org
Subject: Re: remote x nur für bestimmte benutze
From: Daniel Hofmann <usenet@shadowprint.de>
Date: 25 Apr 2003 12:58:35 +0200
Message-id: <[🔎] 86vfx2vo6c.fsf@shadowprint.de>
References: <20030422193027$6e4d@gated-at.bofh.it> <20030422193027$5334@gated-at.bofh.it> <20030422193027$4498@gated-at.bofh.it> <20030424122009$1e88@gated-at.bofh.it> <20030424122009$51b5@gated-at.bofh.it> <20030424152017$5d3b@gated-at.bofh.it>

Peter Blancke <blancke@gmx.de> writes:

> Am 24.04.2003 13:56:46, Daniel Hofmann schrieb:
> > Thorsten Strusch <debian@nc-ag.de> writes:
> > 
> > > Ich denke über diese selten genutzte iptables-Option kann man
> > > sehr gut eingrenzen welche(r) Gruppe/User einen gewissen Service
> > > benutzen dürfen.
> > 
> > Korrigiert mich, wenn ich falsch liege, aber der Erzeuger der
> > Pakete ist doch der sshd und der läuft immer nur unter einer ID,
> > häufig root. Hier die Ausgabe eines 'netstat -te' nach einem 'ssh
> > localhost': 
> 
> Dann schau Dir die Sache besser einmal mit "ps axuf" an, dann kannst
> Du sehr gut beobachten, dass der sshd als root laeuft, aber schon
> der naechste erzeugte Programmaufruf (beispielsweise die Bash) mit
> den Rechten des Aufrufers laeuft.
> 
[...]
> Und ueberlege einmal: Das waere fatal, wenn die nachfolgenden
> Prozesse root gehoeren wuerden. Da waere mir bereits beim schlichten
> "rm" unwohl.

Ich dachte, dass die Prozesse, die der ssh startet natürlich dem
Benutzer gehören und nicht root. Dass der sshd selbst forkt habe ich
nicht bedacht. Danke für den Hinweis. 

Damit funktioniert es mit einer Regel wie der folgenden tatsächlich,
einzelnen Benutzern das SSH - X - Forwarding zu untersagen.

iptables -A OUTPUT \ 
        -p tcp --source-port 6010:6100 \
        -m owner --uid-owner badowner \
        -j DROP

Bleiben noch zwei fragen: 1.) welcher Portbereich (hier 6010:6100) ist
der richtige? 2.) Wahrscheinlich ist das nur eine 'weiche' Sperre, da
ein Benutzer doch einen eigenen Forwarding - Mechanismus starten
kann, der dann andere Ports benutzt, oder? Siehe hierzu man sshd_config:

     X11Forwarding
             Specifies whether X11 forwarding is permitted.  The default is
             ``no''.  Note that disabling X11 forwarding does not improve
             security in any way, as users can always install their own for
             warders. 

Grüße,
Daniel.

-- 
..... Daniel Hofmann <usenet@shadowprint.de> .....

Reply to:

Prev by Date: Re: Sylpheed + Exim
Next by Date: Re: Selbst kompilierter Kernel schaltet bei shutdown -h nicht aus.
Previous by thread: Re: remote x nur für bestimmte benutze
Next by thread: lokales Archiv in die sources.list einfügen
Index(es):
- Date
- Thread