© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Ingo Rohlfs <ingo.rohlfs(at)gmx.de> wrote:
> Bisher dachte ich, das dieses Feature vor allem die Möglichkeiten von
> Root-Kits verringert. Heute kam mir noch ein Gedanke:
>
> Wenn man dem System alle Netzwerk-Clients raubt, und nur eine winzige
> Zahl von Programmen belässt, kommt ein Eindringling evtl. nicht weiter.
>
> Angenommen auf dem Rechner läuft nur der Kernel und ein Sendmail (proxy),
> sonst gibt es keine Programme ausser vielleicht /bin/sh auf der Platte.
> Was kann ein Angreifer jetzt noch machen? Er hat kein ftp etc. um
> Programme zu laden, und keine Berechtigung (schg-flags überall)
> um sie zu speichern, kein telnet um weiterzukommen etc.
>
> Der Rechner wäre für Ihn nutzlos, oder?
Nicht, wenn er nicht ganz dumm ist.
Wenn ein sendmail läuft (gilt auch für viele andere Netz-
werkdienste), kann ein Angreifer prinzipiell Daten auf die
Platte bekommen.
Theoretisch kann das sogar schon allein mit der /bin/sh
und einer beliebigen Art von Netzwerkverbindung gehen.
Wenn der Angreifer es schafft, ein Kommando auf dem Rechner
auszuführen, kann er einfach durch Output-redirection be-
liebige Binaries auf die Kiste schaufeln.
Das Entfernen von Programmen von einem Rechner ist immer
eine zweischneidige Sache. Man muß sich im Klaren darüber
sein, daß es fast immer Wege gibt, daß ein Angreifer die
Programme, die er braucht, selbst auf die Kiste laden kann,
wenn es sein muß (man kann es ihm höchstens erschweren).
Auf der anderen Seite macht man es damit auch sich selbst
als Admin schwerer, die Maschine zu administrieren. Ich
persönlich neige daher eher dazu, von solchen Löschorgien
Abstand zu nehmen. Sie erschweren _mir_ das Leben und er-
zeugen möglicherweise ein falsches Gefühl von Sicherheit,
was dazu führen kann, daß man an anderer Stelle nachlässig
wird.
YMMV.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 03 Feb 2003 - 23:46:33 CET