© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Mon, 3 Feb 2003, Bernd Walter wrote:
> On Mon, Feb 03, 2003 at 10:13:57PM +0100, Ingo Rohlfs wrote:
> > On Sun, Feb 02, 2003 at 09:51:20PM +0100, Oliver Fromme wrote:
> > > Ingo Rohlfs <ingo.rohlfs(at)gmx.de> wrote:
> > > > Möglichkeit vorzuliegen, die Systemsicherheit zu erhöhen.
> > >
> > > Ja, unter geeigneten Umständen.
> > >
> > ...
> > > Schreiben is' nich.
> >
> > Bisher dachte ich, das dieses Feature vor allem die Möglichkeiten von
> > Root-Kits verringert. Heute kam mir noch ein Gedanke:
> >
> > Wenn man dem System alle Netzwerk-Clients raubt, und nur eine winzige
> > Zahl von Programmen belässt, kommt ein Eindringling evtl. nicht weiter.
> >
> > Angenommen auf dem Rechner läuft nur der Kernel und ein Sendmail (proxy),
> > sonst gibt es keine Programme ausser vielleicht /bin/sh auf der Platte.
> > Was kann ein Angreifer jetzt noch machen? Er hat kein ftp etc. um
> > Programme zu laden, und keine Berechtigung (schg-flags überall)
> > um sie zu speichern, kein telnet um weiterzukommen etc.
>
Nun, mit dem Paketfilter Deiner Wahl sagst Du: nur Port 25 ist erlaubt.
Kein FTP, kein Telnet.
> Ein Programm bekommt er bereits über den Sendmail auf die Platte.
> Schließlich landed die in der queue.
Wenn der Rechner am boesen Internet haengt, schiebt er, was er anerkennt,
nur weiter. Muss man schon fix sein - catch me if you can;-)
> Fehlt nur noch die Nachricht ausführbar zu machen.
> Sicherlich auch nicht gänzlich unmöglich.
/usr ReadOnly gemountet, chmod -R ugo-w /usr sowie mit Secure Flags
versehen, um das nicht zu aendern.
/var NoExec gemountet.
> Alternativ kann man mit einer Shell problemlos Files speichern.
> Am bequemsten mit einem shar Script.
> Mit der richtigen umask ist das dann auch sofort ausführbar.
S.oben
> Allerdings muß sich jemand auf so einem System erst mal Gedanken
> machen.
Genau. und wenn man solche Szenarien durchspielt, faellt einem schon ein
bisschen ein;-)
chflags und securelevel sind schoene Bausteine, die ich unter Linux gerade
schmerzlich vermisse. Ich weiss, es gibt OpenWall (wobei die Bezeichnung
allein kein Vertrauen einfloesst;-) und Verwandte.
Allerdings hat mir noch keiner erschoepfend die Frage beantworten koennen,
wieviele Patches von Seitenprojekten und "Experimental" Treiber ein Linux
vertraegt.
Es gruesst
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 04 Feb 2003 - 00:09:11 CET