[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Sicherheit von NFS-v3 im Netz (was: Re: Anmeldung an Squid)



Hello Maxx,

Am 2010-09-19 22:58:39, hacktest Du folgendes herunter:
> Vertrauenswürdig heißt bei NFS v3: Kein Rechner im Netz kann von
> einer nicht authorisierten Person als root genutzt werden!

Bei mir heist "vertrauenswürdig" über SSL getunneltes NFS (tcp).
HOWTOs gibt es 3 oder 4 im Internet.

Ich habe NFS Root-Zugriff und mache es quer durch die Welt seit 8 Jahren
und ich denke, es kommt lediglich darauf an, wieviel ARBEIT sich  jemand
machen will und ob es die Arbeit wert ist.

> In der Datei /etc/exports steht, welche Clientrechner (IPs) welche
> Verzeichnisse mounten dürfen. 

IPs kanste faken...

> Ja, ein Angreifer kann dann auf die gemounteten Verzeichnisse nicht
> mit root-Rechten zugreifen, sondern nur mit User-Rechten. Aber das
> reicht, um alle Home-Verzeichnisse zu durchstöbern und einen
> Großteil der Konfiguration anzusehen (alles, was freigegeben ist).

Wie währe es mit einem User Verzeichnis und 'chmod 600 /home/${USER}'
dann haben die anderen das nachsehn.

Es sei denn, der "Schnüffler" nimmt sein eigenes Laptop und  macht  sich
zu der UID/GID...

> Nein, wenn die Verbindung geöffnet ist, braucht man auch kein
> Passwort mehr. Wenn man sich als Angreifer in diese Verbindung
> einklinkt, kann man alles tun, was der angemeldete User auch kann -

Samba macht aber Verschlüsselung!  Wie willste Dich da einklinken?
Oder verwendest du sie Sicherheits-Features nicht?

> > nochmal: wann wird das Homeverzeichnis übers Netz übertragen? Der
> > User fordert doch bestimmte Dateien an und ob das gerade die sind,
> > die den Angreifer interessieren - da muss er u.U. lange warten.

Dateien/Infos sniffen tut man automatisch, also hat man VIEL ZEIT!

> Es wird übers Netz gemountet (Siehe oben)
> Man muss nicht mit einem Sniffer die Pakete mitschneiden und daraus
> die übertragenen Dateien zusammensetzen (gibt es auch fertige Tools
> für).

Eben...

> > bis dahin gehe ich mit. Aber mit solchen Programmen kann ich nichts 
> > anfangen. Die Schüler können das?
> 
> Ja. Die Anleitungen dazu gibt es nämlich dazu. Und da die Motivation
> u.U. eine ganz andere ist als im Unterricht ... ;)

LOL :-D

> Man sollte nie aus dem Verhalten im Unterricht auf die Fähigkeiten
> eines Schülers folgern *gg*

Warst du auch so einer?  (wegen des *gg*)

> Ja, ich bin erstaunt, welche Kenntnisse und auch Fertigkeiten manche
> Schüler da haben (von meinem Sohn ganz abgesehen, der hätte sowas
> schon in der 10. Klasse als Aufwachübung gemacht - aber er hat Ehre
> im Leib und daher die Schule eher auf Sicherheitslücken hingewiesen
> als sie auszunutzen - aber nicht alle haben so eine Hackerehre.

Das erinnert mich an die Realschule hier vor Ort (Kehl)...

Thanks, Greetings and nice Day/Evening
    Michelle Konzack

-- 
##################### Debian GNU/Linux Consultant ######################
   Development of Intranet and Embedded Systems with Debian GNU/Linux

itsystems@tdnet France EURL       itsystems@tdnet UG (limited liability)
Owner Michelle Konzack            Owner Michelle Konzack

Apt. 917 (homeoffice)
50, rue de Soultz                 Kinzigstraße 17
67100 Strasbourg/France           77694 Kehl/Germany
Tel: +33-6-61925193 mobil         Tel: +49-177-9351947 mobil
Tel: +33-9-52705884 fix

<http://www.itsystems.tamay-dogan.net/>  <http://www.flexray4linux.org/>
<http://www.debian.tamay-dogan.net/>         <http://www.can4linux.org/>

Jabber linux4michelle@jabber.ccc.de
ICQ    #328449886

Linux-User #280138 with the Linux Counter, http://counter.li.org/

Attachment: signature.pgp
Description: Digital signature


Reply to: