© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Guten Morgen,
Markus Meincke schrieb:
> Beim zweiten Mal wo mir das aufgefallen ist habe ich wieder top
> ausgeführt und wieder stand an erster stelle
>
> find
>
> diesmal konnte ich aber auch beobachten, wie kurz darauf
>
> sendmail
>
> ausgeführt wurde (auch von root), bzw. an erster stelle stand.
Die Uhrzeit deiner E-Mail läßt darauf schließen, daß sich der
"Vorfall" wohl gegen 3:00 Uhr ereignet hat. Das ist völlig normal.
Um diese Zeit laufen einige der von Peter angesprochen periodic-
Skripten. Eines davon überprüft zum Beispiel, ob seit dem letzten
Mal irgendwelche SUID-Programme auf deiner Festplatte installiert
wurden. Hierzu muß es die Platte natürlich mit find(1) durchsuchen.
Die Ausgabe dieser Skripten wird per E-Mail versendet - das erklärt
den sendmail-Prozeß.
Das ist also ganz unbedenklich. Im Gegenteil: Diese Skripten sollen
dir bei der Überwachung und Absicherung deines Systems helfen.
Sie mal nach, ob du diese Mails in /var/mail/root findest. Mit einem
entsprechenden Eintrag in /etc/aliases kannst du dir derartige
Ausgaben künftig auch an deinen Benutzer-Account senden lassen:
root: markus
Anschließend mußt du newaliases(1) aufrufen, um Sendmail über die
Änderungen zu informieren.
> Und das gab mir dann richtig zu denken. Vorallem weil ich glaube
> mal gelsesen zu haben, dass sendmail nicht das sicherste Programm
> bei FreeBSD ist.
Naja, es ist mit Sicherheit unsicherer als true(1). *SCNR*
Sendmail, vor tausenden von Jahren entwickelt, hatte in der
Vergangenheit tatsächlich die ein oder andere Sicherheitslücke,
wie eigentlich jedes Stück Software, das schon so lange existiert
und teilweise auch für Umgebungen mit ganz anderen Voraussetzungen
als dem heutigen, bösen Internet entwickelt wurde.
Einige der "Sicherheitslücken" gehen bei Sendmail aber auch auf
Konfigurationsfehler zurück. Die FreeBSD-Standardkonfiguration ist
in dieser Hinsicht allerdings unbedenklich und Sendmail nur vom
lokalen Rechner aus erreichbar.
Ansonsten gilt natürlich, daß du bekannt werdende Sicherheitslücken
umgehend schließend solltest. Dabei sind freebsd-update(8) für den
Kernel und das Basissystem sowie ports-mgmt/portaudit für die
installierten Ports ganz hilfreich.
Die größe Gefahr sitzt IMO aber immer noch vor dem Rechner.
Am sichersten wäre es wohl, den Stecker zu ziehen. :-)
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 10 Jan 2008 - 07:00:33 CET