[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Shell-Account für /var/log/ ansehen



Hallo Sebastian,

Sebastian Suchanek schrieb am Freitag, den 23.07.2021 um 17:18:
> Am 20.07.2021 um 13:38 schrieb Peter Funk:
> 
> > [...]
> > An dieser Stelle fühle ich mich verpflichtet einen Warn-Hinweis zu geben:
> >
> > Es kann passieren, dass einzelne Logfiles Informationen enthalten,
> > die sich für eine sogenannte „Privileg-Eskalation“ eignen.
> >
> > Wenn also die Person, die Leserechte auf „/var/log“ erhalten soll,
> > „nicht mit root-Rechten am System herumfummeln“ können soll,
> > dann müssten alle Logfiles vorher so gefiltert werden, dass darin
> > keine Daten mehr ersichtlich sind, die sich für das unberechtigte
> > Erlangen von root-Rechten mißbrauchen lassen.
> > [...]
> 
> Kannst Du mal ein Beispiel geben? Mir fehlt da die Kreativität, wie so
> ein Angriff aussehen könnte. 

Leider ist das hier vermutlich nicht die konkrete Antwort, die Du
Dir erhofft hast.

> Passwörter im Klartext wird ja wohl
> hoffentlich keine Software nach /var/log schreiben...

In einer idealen Welt wäre das so.  Aber es gibt das eine oder andere
kommerzielle Software-Produkt, bei dem das doch passiert, weil niemand
sich seinerzeit Gedanken darüber gemacht hat und/oder sich darauf
verlassen hat, dass die Logfiles sowieso nur für administrierende
Personen zugänglich sind.  Oder es landeten einfach Zugangs-"token"
mit den URLs im Webserver "access.log".

Oder Informationen aus "/var/log" konnten helfen, Benutzern gezielt eine
Falle zu stellen (sogenanntes "spear phishing").  In "/var/log/wtmp"
finden sich alle Informationen, wann sich jemand ein- bzw. ausloggt.

Firmen die "pentesting" anbieten, raten deshalb nach audits meist dazu 
den Zugriff auf "/var/log" zu beschränken.

Liebe Grüße, Peter Funk
-- 
Peter Funk ✉:Oldenburger Str.86, 27777 Ganderkesee, Germany; 📱:+49-179-640-8878 
homeoffice ☎:+49-4222-950270
office ✉: ArtCom GmbH, Haferwende 2, D-28357 Bremen, Germany; ☎:+49-421-20419-0

Attachment: signature.asc
Description: Digital signature


Reply to: