Re: Sicherheit erh

To: debian-user-german@lists.debian.org
Subject: Re: Sicherheit erh
From: Christian Bodenstedt <c.bodenstedt@cityweb.de>
Date: Wed, 27 Aug 2003 15:49:07 +0200
Message-id: <[🔎] 20030827154907.50c5e420.c.bodenstedt@cityweb.de>
In-reply-to: <[🔎] 20030827010306.A26404@P75.privat.jan>
References: <[🔎] bie3oh$8t9$07$1@news.t-online.com> <[🔎] 20030826222112.513d9bb9.c.bodenstedt@cityweb.de> <[🔎] 20030827010306.A26404@P75.privat.jan>

On Wed, 27 Aug 2003 01:03:06 +0200 Jan.Trippler@t-online.de (Jan Trippler)
wrote:
> On Die, 26 Aug 2003 at 22:21 (+0200), Christian Bodenstedt wrote:
> > On Tue, 26 Aug 2003 00:48:42 +0200 "Hans-Peter \"HP\" Weecks" wrote:
> > >   4. Umbiegen temporärer und sonstiger Dateien 
> > >   
> > Die von Windows bekannte Auslagerungsdatei kommt bei Unix sowieso
> > meist auf eine eigene, vom Benutzer nicht lesbare Partition. Im
> > Umbiegen von temporären Dateien sehe ich unter Unix keinen Sinn.
> 
> Es macht Sinn, temporäre Dateien sicher anzulegen, also mit nicht
> vorhersehbaren Dateinamen zu versehen (man mktemp), um race
> conditions zu vermeiden (Unterschieben anderer Inhalte).

Da stimme ich dir zu, jedoch gehe ich davon aus, dass sich der
Programmierer einer Anwendung darum kümmert (bzw. dass das gefixt wird,
sobald es bekannt wird). Paranoide Leute müssten halt alle eingesetzten
Programme checken.

> Wenn unter *Umbiegen* das Ändern der Verzeichnisnamen von /tmp resp.
> /var/tmp gemeint ist - das ist 1. security by obscurity und funktioniert
> nicht und wird 2. viele Programme zur Verzweiflung bringen und
> funktioniert also nicht.

Etwa das meinte ich damit, dass das Umbiegen unter Unix keinen Sinn macht.
Wenn ein Windows-Programm jedoch seine temporären Dateien in
c:\programme\wasweisich\ anlegen will, kann das durchaus sinnig sein.

> Was soll das Umbenennen oder *root seiner Rechte berauben* bringen?
> Du brauchst einen User mit der ID 0 als Admin - wie der heisst ist
> völlig schnuppe. Umbenennen fällt auch wieder unter *security by
> obscurity* und funktioniert nicht. Die Rechte hängen an der ID 0 -
> nicht am Namen.

Ich meine mich an eine Art Wettbewerb zwischen einem Windows- und einem
Linux-Server zu erinnern, wobei es darum ging welcher der Rechner zuerst
gehackt würde. Von dem Linux-Server wurde dabei afair sogar das
Root-Passwort bekannt gegeben, was den Hackern allerdings nicht besonders
hilfreich war. Wie das jedoch bewerkstelligt wurde weiß ich nicht.

Eine Möglichkeit um root einzuschränken findet sich z.B. unter:
 http://www.linux-magazin.de/Artikel/ausgabe/2001/06/lids/lids.html
Allerdings wird es ja auch wieder irgendwie möglich sein, diese
Einschränkungen aufzuheben.

Was das Umbenennen angeht: Das soll wohl bringen, dass sich potentielle
Einbrecher selbst mit richtigem root-Passwort nicht als Admin einloggen
können - security by obscurity. Bei Erlangung der Rechte des Nutzers mit
ID 0 über einen Exploit bringt das natürlich nichts.

Christian

Reply to:

References:
- Sicherheit erhöhen
  - From: "Hans-Peter \"HP\" Weecks" <hpweecks@web.de>
- Re: Sicherheit erh
  - From: Christian Bodenstedt <c.bodenstedt@cityweb.de>
- Re: Sicherheit erh
  - From: Jan.Trippler@t-online.de (Jan Trippler)

Prev by Date: Re: Sicherheit erh
Next by Date: Re: erstmals enttäuscht vonwoody, apt, oder hylafax, war: Faxen machen mit Woody
Previous by thread: Re: Sicherheit
Next by thread: Re: Sicherheit erh
Index(es):
- Date
- Thread