[gelöst] ethtool benötigt gcc?

[frankw]

Hallo,

ich wollte heute ethtool installieren (debian bookworm auf arm64) und bin darüber gestolpert, dass es gcc nachzieht...

Code: Alles auswählen

# apt install --no-install-recommends ethtool
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Die folgenden zusätzlichen Pakete werden installiert:
  gcc-12-base libc6 libgcc-s1 libmnl0
Vorgeschlagene Pakete:
  glibc-doc debconf | debconf-2.0 libc-l10n locales libnss-nis libnss-nisplus
Empfohlene Pakete:
  libidn2-0
Die folgenden NEUEN Pakete werden installiert:
  ethtool gcc-12-base libc6 libgcc-s1 libmnl0

da ich der Meinung bin, dass gcc nichts auf einem Server zu suchen hat (außer in abgeschotteten Umgebung wie docker/lxc/...) frage ich mich warum...

das Problem scheint die libc6 zu sein, die zieht eine gcc-lib über depends nach.

Code: Alles auswählen

# apt show ethtool
Package: ethtool
Version: 1:6.1-1
Priority: optional
Section: net
Maintainer: Debian Kernel Team <debian-kernel@lists.debian.org>
Installed-Size: 737 kB
Depends: libc6 (>= 2.34), libmnl0 (>= 1.0.3-4~)

# apt show libc6
Package: libc6
Version: 2.36-9+deb12u8
Priority: optional
Section: libs
Source: glibc
Maintainer: GNU Libc Maintainers <debian-glibc@lists.debian.org>
Installed-Size: 23,7 MB
Depends: libgcc-s1 #<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

kann ich irgendwie ethtool ohne c-compiler installieren? scheinbar ist diese Abhängigkeitskette überall drin...auch bei apt-file wird libc6 nachgezogen und damit libgcc+gcc-12-base

Gruß Frank

[rhHeini]

Was ist denn das für eine Installation die ohne libc6 läuft?

[frankw]

Rootfs wurde mit debootstrap angelegt und kernel ist selbst compiliert

Hat mich aber auch gewundert,dass libc6 nicht selbst dabei ist...wäre auch kein Problem,aber das gcc stört mich halt

[frankw]

https://packages.debian.org/bookworm/ar ... e/filelist

Scheint aber erstmal kein compiler dabei zu sein..somit scheinbar unkritisch und ich bin zu paranoid :p

[MSfree]

Code: Alles auswählen

... gcc-12-base...

Code: Alles auswählen

apt-file list gcc-12-base
gcc-12-base: /usr/share/doc/gcc-12-base/README.Debian.amd64.gz
gcc-12-base: /usr/share/doc/gcc-12-base/TODO.Debian
gcc-12-base: /usr/share/doc/gcc-12-base/changelog.Debian.gz
gcc-12-base: /usr/share/doc/gcc-12-base/copyright

Also, ich sehe da keinen Compiler, nur ein paar Dokumente.

[frankw]

Jo habe ich ich auch gesehen siehe link auf packages.debian.org...apt-file zieht auch die gleiche kette nach,daher hab ichs über die websuche gemacht.

Ich sagte doch schon,bin wohl etwas paranoid....wenn ich da gcc sehe auf dem Server klingeln die Alarmglocken :p

[bommi]

Ich würde gerne den Angriffsvektor verstehen, den du damit auszuhebeln versuchst.

Ein Angreifer schafft es schadhaften Quellcode auf dein System zu bringen und zu compilieren, aber nicht direkt den für deine Plattform / Betriebssystem fertigen Schadcode?

Bitte meine Frage nicht als Angriff verstehen, aber ich Frage mich, ob ich hier etwas übersehe.
Grundsätzlich installiere ich auch möglichst wenig Software, der Sicherheit wegen.

VG
bommi

[frankw]

ja, grundlegend nur notwendige Software. Mir wurde halt von diversen Richtungen immer propagiert, c-compiler gehören nicht auf Server (natürlich kann man auch andere tools nutzen für pentesting...damals war es eher bash mit sed/awk und perl, heute ist es python - früher wie damals werden die aber ggf. benötigt). Ob es da bestimmte Angriffsvektoren gibt, die einen c-compiler benötigen, kann ich nicht genau spezifizieren...evtl. könnte man leichter über ein Webfrontend eine txt-datei hochladen/generieren als eine Binärdatei und über eine Sicherheitslücke in einem solchen dann den Compiler starten (und danach die erzeugte binary).

natürlich ist es fatal, wenn man einfach so eine Anwendung auf dem Server via Webfrontend starten kann, aber man weis ja nie...es gibt ja öfters Meldungen von remote code execution lücken auch bei namhaften Herstellern.

Ein Angriff basiert aber selten nur auf einer Sicherheitslücke von daher so viel wie möglich beherzigen, damit Kombinationen so schwer wie möglich sind. So weit wie möglich abkapseln (container/vms sowieso, proxy/web/db/script separat), Berechtigungen einschränken (normaler user ohne root, möglichst chroot, apparmor/selinux, ...), keine frontends die irgendwas hochladen/editieren können bzw. nur sehr eingeschränkt und nur mit authentifizierung (inkl. csrf und ähnlichen Methoden), Validierung von Eingaben (u.a. gegen SQL injection), keine Anwendungsinformationen (apache/nginx/...) anzeigen wie Version/Patchlevel/Dateipfade etc. (Liste natürlich unvollständig)