Re: Sicherheit von NFS-v3 im Netz (was: Re: Anmeldung an Squid)
Michelle Konzack wrote on Mon, 20 Sep 2010 00:24:19 +0200:
> Hello Maxx,
>
> Am 2010-09-19 22:58:39, hacktest Du folgendes herunter:
> > Vertrauenswürdig heißt bei NFS v3: Kein Rechner im Netz kann von
> > einer nicht authorisierten Person als root genutzt werden!
>
> Bei mir heist "vertrauenswürdig" über SSL getunneltes NFS (tcp).
> HOWTOs gibt es 3 oder 4 im Internet.
Das steht schon weiter oben im Thread.
> > In der Datei /etc/exports steht, welche Clientrechner (IPs) welche
> > Verzeichnisse mounten dürfen.
>
> IPs kanste faken...
Eben. Hab ich als selbstverständlich bekannt vorausgesetzt. Wie bei
MACs auch.
> > Ja, ein Angreifer kann dann auf die gemounteten Verzeichnisse
> > nicht mit root-Rechten zugreifen, sondern nur mit User-Rechten.
> > Aber das reicht, um alle Home-Verzeichnisse zu durchstöbern und
> > einen Großteil der Konfiguration anzusehen (alles, was
> > freigegeben ist).
>
> Wie währe es mit einem User Verzeichnis und 'chmod
> 600 /home/${USER}' dann haben die anderen das nachsehn.
>
> Es sei denn, der "Schnüffler" nimmt sein eigenes Laptop und macht
> sich zu der UID/GID...
Schön, dass du auch die Worte von mir gelesen hast, die du nicht mit
gequotet hast ;). Das stand schon da.
> > Nein, wenn die Verbindung geöffnet ist, braucht man auch kein
> > Passwort mehr. Wenn man sich als Angreifer in diese Verbindung
> > einklinkt, kann man alles tun, was der angemeldete User auch kann
> > -
>
> Samba macht aber Verschlüsselung! Wie willste Dich da einklinken?
> Oder verwendest du sie Sicherheits-Features nicht?
Ich verwende kein Samba.
> > Man sollte nie aus dem Verhalten im Unterricht auf die Fähigkeiten
> > eines Schülers folgern *gg*
>
> Warst du auch so einer? (wegen des *gg*)
Zu meiner Zeit gab es nur Großrechner, und an der Schule gar keine
Computer. Aber ich arbeite jetzt an einer Schule und kenne viele
Schüler nicht nur aus dem Unterricht.
--
Maxx <linux@houdek.de>
Reply to: