Spiele unter non Root

feldmaus · Beitrag von **feldmaus** » 29.01.2008 12:18:34

Hi Alle,

ich wollte seit längerem mal etwas den Debian Entwicklern sagen,
bitte packt alle Spiele unter die Gruppe Games, und sorgt dafürdass normale Benutzer
nicht root werden müssen, wenn sie ein Debian Packet Spiel installieren wollen,
dies würde die Sicherheit erhöhen und das System übersichtlicher machen.

Dann müsste man nämlich eine weitere Datenbank für die Gruppe Games erstellen wo alle
Benutzer der Gruppe Games Spiele installieren könnten.

Am besten wäre es, wenn nur die nötigsten Programme unter root installiert werden müssten, die
die Sicherheit gewährleisten müssen.

Kann man davon ausgehen, dass alle Programme die man über die offizielen Debian Sourcen
beziehen kann auch keine Viren oder Trojaner enthalten?
Wer prüft sowas?
Wie wird das geprüft?

Grüße Markus

Saxman · Beitrag von **Saxman** » 29.01.2008 12:25:04

Mir würde das gar nicht gefallen wenn normale Benutzer software installieren könnten.. Nee Neee

feldmaus · Beitrag von **feldmaus** » 29.01.2008 13:17:30

Saxman hat geschrieben:Mir würde das gar nicht gefallen wenn normale Benutzer software installieren könnten.. Nee Neee

Was spricht dagegen?
Die Games würden ein seperates bin und etc Verzeichnis bekommen und somit nichts am
System beschädigen können.
Ein Vorteil wäre das man relativ schnell die ganze Spiele von der Gruppe Games wieder entfernen könnte.
Wenn du irgendwann mal dein Linux System wieder reinigen willst, also unnötige Software rausschmeißen,
dann wäre das wesentlich einfacher.

Saxman · Beitrag von **Saxman** » 29.01.2008 17:29:23

Viele Spiele laufen z.B als server, und Ich hätte grad mal null Verständniss dafür daß ein normaler user mir irgendwelche server installieren darf. Außerdem würde das System nur unnötig komplex werden durch ein weiteres etc,bin und vermutlich auch noch lib werden..

feldmaus · Beitrag von **feldmaus** » 29.01.2008 17:42:22

Saxman hat geschrieben:Viele Spiele laufen z.B als server, und Ich hätte grad mal null Verständniss dafür daß ein normaler user mir irgendwelche server installieren darf. Außerdem würde das System nur unnötig komplex werden durch ein weiteres etc,bin und vermutlich auch noch lib werden..

Um genau zu sein gibt es ja auf jedem Debian System schon mehrere bin,etc und lib Verzeichnisse und hat das bis jetzt Jemanden gestört?

Und ein normaler User könnte auch nicht Spiele installieren, sondern nur ein User der zur Gruppe Games gehört.

Beitrag von **TRex** » 29.01.2008 18:10:30

Dazu müsste aber auch bei jedem Paket klar sein, ob es ein Spiel ist. Gehe ich mal davon aus, dass das in den Paketen steht, müsste man das auch noch überprüfen. Sonst könnte ich (böswilliger Angreifer) einfach irgendein Paket als Spiel verpacken und das installieren.

Ich wär dagegen..

feldmaus · Beitrag von **feldmaus** » 29.01.2008 20:55:32

TRex2003 hat geschrieben:Dazu müsste aber auch bei jedem Paket klar sein, ob es ein Spiel ist. Gehe ich mal davon aus, dass das in den Paketen steht, müsste man das auch noch überprüfen. Sonst könnte ich (böswilliger Angreifer) einfach irgendein Paket als Spiel verpacken und das installieren.

Zur Zeit ist die lage weit aus gefährlicher. Die Spiele die in Debian enthalten sind, können das System mehr beeinflussen und mehr beschädigen. Du musst sie schliesslich mit root installieren und nicht mit der Gruppe Games und wer weiss was dabei alles passieren kann. Die derzeitige Lage ist, dass die Spiele zum Teil als root/root ausgeführt werden.

Beispiel,

Das Spiel Enigma ist im Repository Debian Etch enthalten.
Es besitzt folgende Attribute,
-rwxr-xr-x 1 root root 1660552 2006-09-08 02:10 /usr/games/enigma

Du hällst es also für sicherer dieses Spiel als root/root auszuführen, statt
als User/Games?

Ich würde mich über weitere kritische Beiträge besonders von Debian Entwicklern freuen.

GoKi · Beitrag von **GoKi** » 29.01.2008 21:11:23

feldmann_markus hat geschrieben:Beispiel,

Das Spiel Enigma ist im Repository Debian Etch enthalten.
Es besitzt folgende Attribute,
-rwxr-xr-x 1 root root 1660552 2006-09-08 02:10 /usr/games/enigma

Du hällst es also für sicherer dieses Spiel als root/root auszuführen, statt
als User/Games?

Wo wird da was als root ausgeführt?

cosmac · Beitrag von **cosmac** » 29.01.2008 21:19:42

feldmann_markus hat geschrieben:Du musst sie schliesslich mit root installieren und nicht mit der Gruppe Games und wer weiss was dabei alles passieren kann.

stimmt. Auf ein böswilliges Debian-Installations-Script würde
wohl fast jeder reinfallen. Aber die Gefahr besteht bei jedem
Paket. Warum sollte ich z.B. den qt-libs (und damit einer Firma)
mehr trauen als einem Spieleentwickler?

feldmann_markus hat geschrieben:Die derzeitige Lage ist, dass die Spiele zum Teil als root/root ausgeführt werden.

Installiert ja, aber doch nicht ausgeführt?! Wenn doch, ist aber
root wirklich selber schuld.

feldmann_markus hat geschrieben:-rwxr-xr-x 1 root root 1660552 2006-09-08 02:10 /usr/games/enigma

Du hällst es also für sicherer dieses Spiel als root/root auszuführen, statt
als User/Games?

nein, natürlich nicht. Aber du musst installieren und ausführen
unterscheiden. Bzw. Datei-Rechte und Rechte des ausführenden
Spielers. Dadurch, dass es root gehört, bekommt der Spieler
noch lange keine root-Rechte; jedenfalls nicht in diesem Beispiel,
weil das setuid-Bit nicht gesetzt ist.

Dein Beispiel ist sogar sicherer, als es mit der Gruppe games wäre.
Mit root/root kann es jeder spielen, aber nur root kann es ändern.
Mit xxx/games könnte es ein Spieler überschreiben und nachträglich
einen Trojaner einbauen!

feldmaus · Beitrag von **feldmaus** » 29.01.2008 22:04:47

cosmac hat geschrieben: stimmt. Auf ein böswilliges Debian-Installations-Script würde
wohl fast jeder reinfallen.

feldmann_markus hat geschrieben:Die derzeitige Lage ist, dass die Spiele zum Teil als root/root ausgeführt werden.
Installiert ja, aber doch nicht ausgeführt?!

Ich muss dir Recht geben, es wird nicht als root/root ausgeführt. Und dein Beispiel mit dem Trojaner ist auch richtig.
Also sollte man keine Programme/Skripte als Benutzer irgendwo ablegen!? Denn auch dort könnten sich Trojaner einnisten?

cosmac · Beitrag von **cosmac** » 29.01.2008 22:25:27

feldmann_markus hat geschrieben:Also sollte man keine Programme/Skripte als Benutzer irgendwo ablegen!? Denn auch dort könnten sich Trojaner einnisten?

Theoretisch ja, wer so feige ist, mountet sein /home mit noexec.
Aber dann legt der Eindringling eben selbst eine Datei in /tmp
oder /var/tmp an. Du entkommst ihnen nicht

Spasswolf · Beitrag von **Spasswolf** » 30.01.2008 02:25:57

Ein weiteres Problem ist das bei der Installation von Paketen in die Paketdatenbank in /var/lib/dpkg aktualisiert werden muss, und das kann nur root.

Also sollte man keine Programme/Skripte als Benutzer irgendwo ablegen!? Denn auch dort könnten sich Trojaner einnisten?

Solange nur der eine Benutzer diese Programme/Skripte ändern kann geht es ja noch, wenn aber jeder andere Nutzer (der Gruppe games) daran rumfummeln kann wird es doch unschön.

feldmaus · Beitrag von **feldmaus** » 30.01.2008 17:49:44

Spasswolf hat geschrieben:Ein weiteres Problem ist das bei der Installation von Paketen in die Paketdatenbank in /var/lib/dpkg aktualisiert werden muss, und das kann nur root.

Na gut, man kann glaube ich mehrere Paketdatenbanken anlegen. Dies war auch mein ursprünglicher Gedanke.
Also eine Benutzer Datenbank, in der die Gruppe oder halt nur der jeweilige Benutzer Pakete installieren kann.

Spasswolf hat geschrieben: Solange nur der eine Benutzer diese Programme/Skripte ändern kann geht es ja noch, wenn aber jeder andere Nutzer (der Gruppe games) daran rumfummeln kann wird es doch unschön.

Also sollte man externe Spiele besser in dem Home Verzeichnis ablegen von dem Benutzer der auch dieses Spiel haben will?
Und nur dieser Benutzer kann dort schreiben/lesen.
Dann würde nichts gegen eine seperate Paketdatenbank für diesen Benutzer sprechen?