su security problematik

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
zorn
Beiträge: 697
Registriert: 19.08.2003 00:42:10
Wohnort: Berlin
Kontaktdaten:

su security problematik

Beitrag von zorn » 07.11.2004 14:56:14

hallo leute,

ich habe ein philosophisches problem. ssh-root zugriff oder nicht? irgendwo im netz hab' ich vor längerer zeit mal gelesen dass die verwendung des commands su extrem unsicher sei (dehalb gerne auch silly user). weiss jemand mehr darüber? wie wäre su denn angreifbar? keycodes umleiten?

thx
--
kallisti!

Benutzeravatar
feltel
Webmaster
Beiträge: 10458
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 08.11.2004 19:09:35

Du kannt su auch auf bestimmte User oder Gruppen beschränken. Stichwort wheel-Gruppe. Siehe dazu /etc/pam.d/su

Benutzeravatar
QT
Beiträge: 1322
Registriert: 22.07.2004 21:08:02
Wohnort: localhost

Beitrag von QT » 08.11.2004 20:39:19

Alternativ kann man auf der remote Kiste auch mit "ssh -l root localhost" verbinden. Dafür muss natürlich lokaler ssh root Login erlaubt sein ;-) Ansonsten würd ich sowieso fast ausschliesslich 'sudo' nutzen, aber schon klar, dass man ab und an ein 'su' benötigt....

Benutzeravatar
g-henna
Beiträge: 733
Registriert: 03.11.2003 14:59:56
Wohnort: Berlin

Beitrag von g-henna » 08.11.2004 22:47:17

Hi!

Normalerweise macht man ja auf einem Produktivserver immer root-Login aus und dann nur den einen Benutzeraccount in die wheel-Gruppe. Auf dem (Schul-)Server, den ich betreue, hab ich allerdings nur für root den Login erlaubt. Man weiß nie, was für schwache Passwörter irgendwelche User haben oder was die für Scheiße machen, wenn sie von zu Hause aus ssh-Zugriff auf nen großen Rechner haben... *grin*

Bye
g-henna
follow the penguin...

Benutzeravatar
bollin
Beiträge: 482
Registriert: 01.11.2003 23:31:33
Wohnort: Berlin
Kontaktdaten:

Beitrag von bollin » 08.11.2004 23:11:28

Unsicher an su ist ein

Code: Alles auswählen

# su - $USER
d.h. als root user zu einem anderem User wechseln. Workaround ist:

Code: Alles auswählen

screen su - $USER

Viele Grüße,
Torsten

Benutzeravatar
Bert
Beiträge: 3751
Registriert: 16.07.2002 14:06:52
Wohnort: Dresden
Kontaktdaten:

Beitrag von Bert » 09.11.2004 09:52:13

bollin hat geschrieben:Unsicher an su ist ein

Code: Alles auswählen

# su - $USER
d.h. als root user zu einem anderem User wechseln. Workaround ist:

Code: Alles auswählen

screen su - $USER
Viele Grüße,
Torsten
Hallo Torsten,

Kannst Du das noch kurz erläutern? Oder Links dazu? Ich hör das erte Mal von einem su Problem 8O

Oder Du machst das beim Usertreffen in Berlin und ich geb Dir ein Bier aus ;-)

Bert
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de

Benutzeravatar
bollin
Beiträge: 482
Registriert: 01.11.2003 23:31:33
Wohnort: Berlin
Kontaktdaten:

Beitrag von bollin » 10.11.2004 21:27:28

Bert hat geschrieben: Oder Du machst das beim Usertreffen in Berlin und ich geb Dir ein Bier aus ;-)

Bert
Das klingt gut!

Torsten

Benutzeravatar
thorben
Beiträge: 722
Registriert: 14.09.2003 23:23:49

Beitrag von thorben » 20.11.2004 18:53:42

nabend,

@Bert: ich habe die gleiche frage meinem vortragenden an der fh gestellt und er hat diesen link gefunden: http://www.nsa.gov/selinux/list-archive/0402/6567.cfm
In case of (**), if su is invoked by a process with a controlling tty, there exist two processes with different security context which share the same controlling tty. Doesn't it sound bad ? Let's assume the target user
(Mallory) is malicious and convinces admin to run "su mallory". At least two
exploitation scenarios are possible:
1) Mallory's .bashrc executes a binary which stuffs characters to the controlling tty with the help of TIOCSTI ioctl, then kills the shell. Admin's shell will receive these characters from the controlling tty and execute appropriate (read - malicious) commands. This can be prevented if admin is smart enough to never run "su user", but "screen su user" instead
(but then we introduce dependency on "screen" security, not to mention the
dependency on admin's smartness).
2) If admin uses xterm (or many other X tty emulators), it is possible to stuff keystrokes to the controlling tty by simply echoing to output some xterm control sequences. Search for "CSI Ps ; Ps ; Ps t" ctlseq description. This can be prevented if admin is smart enough not to use X
das interessante ist TIOCSTI itctl, wobei ich zugeben muss solche details nicht wirklich gut erklären kann ;-)

gruß
thorben

Benutzeravatar
zorn
Beiträge: 697
Registriert: 19.08.2003 00:42:10
Wohnort: Berlin
Kontaktdaten:

Beitrag von zorn » 20.11.2004 19:08:05

Thx! Das hilft doch weiter!

Alledings: Ist es jetzt gut oder schlecht dass die Fragen die ich mittlerweile habe von der NSA beantwortet werden?

8)
--
kallisti!

Benutzeravatar
g-henna
Beiträge: 733
Registriert: 03.11.2003 14:59:56
Wohnort: Berlin

Beitrag von g-henna » 20.11.2004 19:51:44

Hi!

SELinux ist zwar ein NSA-Projekt und ob man dem vertrauen kann, sei jedem selbst überlassen, aber auf jeden Fall arbeiten da auch viele öffentliche Leute mit und irgendwie sind auch schon Teile davon in den offiziellen Kernel eingeflossen (bei mir in /usr/src/linux/security/selinux), auch wenn ich immer noch nicht wirklich weiß, was das nu eigentlich ist :-) -- Das mit der su-Sicherheitsgeschichte hört sich aber wirklich recht böse an. Kann man nicht aber ein gewisses Risiko ausschließen, indem man sich eben mit su - $USER anmeldet, weil dann ja zunächst die .bash_profile ausgeführt wird. Und wenn die so manipuliert ist, dann könnte sich auch der User selbst nicht mehr einloggen, seh ich das richtig?

Bye
g-henna
follow the penguin...

Benutzeravatar
Lohengrin
Beiträge: 3227
Registriert: 29.08.2004 00:01:05
Wohnort: Montsalvat

SELinux

Beitrag von Lohengrin » 13.02.2005 05:21:24

zorn hat geschrieben:Alledings: Ist es jetzt gut oder schlecht dass die Fragen die ich mittlerweile habe von der NSA beantwortet werden?
Ich bin gestern beim Kernel-Bauen über dieses SELinux gestolpert,
Bei make menuconfig steht nun diese Hilfe:
This selects NSA Security-Enhanced Linux (SELinux).
You will also need a policy configuration and a labeled filesystem.
You can obtain the policy compiler (checkpolicy), the utility for
labeling filesystems (setfiles), and an example policy configuration
from <http://www.nsa.gov/selinux/>.
Dann habe mich gefragt, was die usamerikanische Staatsicherheit im Linux-Kernel verloren hat.

Antworten