su security problematik
su security problematik
hallo leute,
ich habe ein philosophisches problem. ssh-root zugriff oder nicht? irgendwo im netz hab' ich vor längerer zeit mal gelesen dass die verwendung des commands su extrem unsicher sei (dehalb gerne auch silly user). weiss jemand mehr darüber? wie wäre su denn angreifbar? keycodes umleiten?
thx
ich habe ein philosophisches problem. ssh-root zugriff oder nicht? irgendwo im netz hab' ich vor längerer zeit mal gelesen dass die verwendung des commands su extrem unsicher sei (dehalb gerne auch silly user). weiss jemand mehr darüber? wie wäre su denn angreifbar? keycodes umleiten?
thx
--
kallisti!
kallisti!
- feltel
- Webmaster
- Beiträge: 10458
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Du kannt su auch auf bestimmte User oder Gruppen beschränken. Stichwort wheel-Gruppe. Siehe dazu /etc/pam.d/su
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Hi!
Normalerweise macht man ja auf einem Produktivserver immer root-Login aus und dann nur den einen Benutzeraccount in die wheel-Gruppe. Auf dem (Schul-)Server, den ich betreue, hab ich allerdings nur für root den Login erlaubt. Man weiß nie, was für schwache Passwörter irgendwelche User haben oder was die für Scheiße machen, wenn sie von zu Hause aus ssh-Zugriff auf nen großen Rechner haben... *grin*
Bye
g-henna
Normalerweise macht man ja auf einem Produktivserver immer root-Login aus und dann nur den einen Benutzeraccount in die wheel-Gruppe. Auf dem (Schul-)Server, den ich betreue, hab ich allerdings nur für root den Login erlaubt. Man weiß nie, was für schwache Passwörter irgendwelche User haben oder was die für Scheiße machen, wenn sie von zu Hause aus ssh-Zugriff auf nen großen Rechner haben... *grin*
Bye
g-henna
follow the penguin...
Unsicher an su ist ein
d.h. als root user zu einem anderem User wechseln. Workaround ist:
Viele Grüße,
Torsten
Code: Alles auswählen
# su - $USER
Code: Alles auswählen
screen su - $USER
Viele Grüße,
Torsten
Hallo Torsten,bollin hat geschrieben:Unsicher an su ist eind.h. als root user zu einem anderem User wechseln. Workaround ist:Code: Alles auswählen
# su - $USER
Viele Grüße,Code: Alles auswählen
screen su - $USER
Torsten
Kannst Du das noch kurz erläutern? Oder Links dazu? Ich hör das erte Mal von einem su Problem
Oder Du machst das beim Usertreffen in Berlin und ich geb Dir ein Bier aus
Bert
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
nabend,
@Bert: ich habe die gleiche frage meinem vortragenden an der fh gestellt und er hat diesen link gefunden: http://www.nsa.gov/selinux/list-archive/0402/6567.cfm
gruß
thorben
@Bert: ich habe die gleiche frage meinem vortragenden an der fh gestellt und er hat diesen link gefunden: http://www.nsa.gov/selinux/list-archive/0402/6567.cfm
das interessante ist TIOCSTI itctl, wobei ich zugeben muss solche details nicht wirklich gut erklären kannIn case of (**), if su is invoked by a process with a controlling tty, there exist two processes with different security context which share the same controlling tty. Doesn't it sound bad ? Let's assume the target user
(Mallory) is malicious and convinces admin to run "su mallory". At least two
exploitation scenarios are possible:
1) Mallory's .bashrc executes a binary which stuffs characters to the controlling tty with the help of TIOCSTI ioctl, then kills the shell. Admin's shell will receive these characters from the controlling tty and execute appropriate (read - malicious) commands. This can be prevented if admin is smart enough to never run "su user", but "screen su user" instead
(but then we introduce dependency on "screen" security, not to mention the
dependency on admin's smartness).
2) If admin uses xterm (or many other X tty emulators), it is possible to stuff keystrokes to the controlling tty by simply echoing to output some xterm control sequences. Search for "CSI Ps ; Ps ; Ps t" ctlseq description. This can be prevented if admin is smart enough not to use X
gruß
thorben
Hi!
SELinux ist zwar ein NSA-Projekt und ob man dem vertrauen kann, sei jedem selbst überlassen, aber auf jeden Fall arbeiten da auch viele öffentliche Leute mit und irgendwie sind auch schon Teile davon in den offiziellen Kernel eingeflossen (bei mir in /usr/src/linux/security/selinux), auch wenn ich immer noch nicht wirklich weiß, was das nu eigentlich ist -- Das mit der su-Sicherheitsgeschichte hört sich aber wirklich recht böse an. Kann man nicht aber ein gewisses Risiko ausschließen, indem man sich eben mit su - $USER anmeldet, weil dann ja zunächst die .bash_profile ausgeführt wird. Und wenn die so manipuliert ist, dann könnte sich auch der User selbst nicht mehr einloggen, seh ich das richtig?
Bye
g-henna
SELinux ist zwar ein NSA-Projekt und ob man dem vertrauen kann, sei jedem selbst überlassen, aber auf jeden Fall arbeiten da auch viele öffentliche Leute mit und irgendwie sind auch schon Teile davon in den offiziellen Kernel eingeflossen (bei mir in /usr/src/linux/security/selinux), auch wenn ich immer noch nicht wirklich weiß, was das nu eigentlich ist -- Das mit der su-Sicherheitsgeschichte hört sich aber wirklich recht böse an. Kann man nicht aber ein gewisses Risiko ausschließen, indem man sich eben mit su - $USER anmeldet, weil dann ja zunächst die .bash_profile ausgeführt wird. Und wenn die so manipuliert ist, dann könnte sich auch der User selbst nicht mehr einloggen, seh ich das richtig?
Bye
g-henna
follow the penguin...
SELinux
Ich bin gestern beim Kernel-Bauen über dieses SELinux gestolpert,zorn hat geschrieben:Alledings: Ist es jetzt gut oder schlecht dass die Fragen die ich mittlerweile habe von der NSA beantwortet werden?
Bei make menuconfig steht nun diese Hilfe:
Dann habe mich gefragt, was die usamerikanische Staatsicherheit im Linux-Kernel verloren hat.This selects NSA Security-Enhanced Linux (SELinux).
You will also need a policy configuration and a labeled filesystem.
You can obtain the policy compiler (checkpolicy), the utility for
labeling filesystems (setfiles), and an example policy configuration
from <http://www.nsa.gov/selinux/>.