Re: chflags - sinnlos?

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Tue, 4 Feb 2003 10:10:37 +1100 (EST)

On Mon, 3 Feb 2003, Bernd Walter wrote:

> On Mon, Feb 03, 2003 at 10:13:57PM +0100, Ingo Rohlfs wrote:
> > On Sun, Feb 02, 2003 at 09:51:20PM +0100, Oliver Fromme wrote:
> > > Ingo Rohlfs <ingo.rohlfs(at)gmx.de> wrote:
> > > > Möglichkeit vorzuliegen, die Systemsicherheit zu erhöhen.
> > >
> > > Ja, unter geeigneten Umständen.
> > >
> > ...
> > > Schreiben is' nich.
> >
> > Bisher dachte ich, das dieses Feature vor allem die Möglichkeiten von
> > Root-Kits verringert. Heute kam mir noch ein Gedanke:
> >
> > Wenn man dem System alle Netzwerk-Clients raubt, und nur eine winzige
> > Zahl von Programmen belässt, kommt ein Eindringling evtl. nicht weiter.
> >
> > Angenommen auf dem Rechner läuft nur der Kernel und ein Sendmail (proxy),
> > sonst gibt es keine Programme ausser vielleicht /bin/sh auf der Platte.
> > Was kann ein Angreifer jetzt noch machen? Er hat kein ftp etc. um
> > Programme zu laden, und keine Berechtigung (schg-flags überall)
> > um sie zu speichern, kein telnet um weiterzukommen etc.
>
Nun, mit dem Paketfilter Deiner Wahl sagst Du: nur Port 25 ist erlaubt.
Kein FTP, kein Telnet.

> Ein Programm bekommt er bereits über den Sendmail auf die Platte.
> Schließlich landed die in der queue.

Wenn der Rechner am boesen Internet haengt, schiebt er, was er anerkennt,
nur weiter. Muss man schon fix sein - catch me if you can;-)

> Fehlt nur noch die Nachricht ausführbar zu machen.
> Sicherlich auch nicht gänzlich unmöglich.

/usr ReadOnly gemountet, chmod -R ugo-w /usr sowie mit Secure Flags
versehen, um das nicht zu aendern.

/var NoExec gemountet.

> Alternativ kann man mit einer Shell problemlos Files speichern.
> Am bequemsten mit einem shar Script.
> Mit der richtigen umask ist das dann auch sofort ausführbar.

S.oben

> Allerdings muß sich jemand auf so einem System erst mal Gedanken
> machen.

Genau. und wenn man solche Szenarien durchspielt, faellt einem schon ein
bisschen ein;-)

chflags und securelevel sind schoene Bausteine, die ich unter Linux gerade
schmerzlich vermisse. Ich weiss, es gibt OpenWall (wobei die Bezeichnung
allein kein Vertrauen einfloesst;-) und Verwandte.

Allerdings hat mir noch keiner erschoepfend die Frage beantworten koennen,
wieviele Patches von Seitenprojekten und "Experimental" Treiber ein Linux
vertraegt.

Es gruesst
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 04 Feb 2003 - 00:09:11 CET

search this site