Hallo Sebastian, Sebastian Suchanek schrieb am Freitag, den 23.07.2021 um 17:18: > Am 20.07.2021 um 13:38 schrieb Peter Funk: > > > [...] > > An dieser Stelle fühle ich mich verpflichtet einen Warn-Hinweis zu geben: > > > > Es kann passieren, dass einzelne Logfiles Informationen enthalten, > > die sich für eine sogenannte „Privileg-Eskalation“ eignen. > > > > Wenn also die Person, die Leserechte auf „/var/log“ erhalten soll, > > „nicht mit root-Rechten am System herumfummeln“ können soll, > > dann müssten alle Logfiles vorher so gefiltert werden, dass darin > > keine Daten mehr ersichtlich sind, die sich für das unberechtigte > > Erlangen von root-Rechten mißbrauchen lassen. > > [...] > > Kannst Du mal ein Beispiel geben? Mir fehlt da die Kreativität, wie so > ein Angriff aussehen könnte. Leider ist das hier vermutlich nicht die konkrete Antwort, die Du Dir erhofft hast. > Passwörter im Klartext wird ja wohl > hoffentlich keine Software nach /var/log schreiben... In einer idealen Welt wäre das so. Aber es gibt das eine oder andere kommerzielle Software-Produkt, bei dem das doch passiert, weil niemand sich seinerzeit Gedanken darüber gemacht hat und/oder sich darauf verlassen hat, dass die Logfiles sowieso nur für administrierende Personen zugänglich sind. Oder es landeten einfach Zugangs-"token" mit den URLs im Webserver "access.log". Oder Informationen aus "/var/log" konnten helfen, Benutzern gezielt eine Falle zu stellen (sogenanntes "spear phishing"). In "/var/log/wtmp" finden sich alle Informationen, wann sich jemand ein- bzw. ausloggt. Firmen die "pentesting" anbieten, raten deshalb nach audits meist dazu den Zugriff auf "/var/log" zu beschränken. Liebe Grüße, Peter Funk -- Peter Funk ✉:Oldenburger Str.86, 27777 Ganderkesee, Germany; 📱:+49-179-640-8878 homeoffice ☎:+49-4222-950270 office ✉: ArtCom GmbH, Haferwende 2, D-28357 Bremen, Germany; ☎:+49-421-20419-0
Attachment:
signature.asc
Description: Digital signature