Re: Launische Daemonen oder Hacker?

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Thu, 10 Jan 2008 10:31:20 +0100 (CET)

Hallo,

Andere haben es ja bereits weitgehende erklärt, daher nur
noch ein paar Egänzungen.

Markus Meincke wrote:
> Ich habe jetzt schon das zweite mal bemerkt wie auf einmal meine Platte
> anfing zu rattern, und das obwohl ich rein gar nix getan habe (ich saß
> daneben und hab ein Buch gelesen)
> Da dachte ich mir erst: Nagut.. das ist jetzt sicher der
> Hintergrund-check des Dateisystems.

Per default wird kein solcher Hintergrund-Check ausgeführt.
(Es gibt Drittsoftware, die sowas tut, aber die müsste man
erstmal installieren. Auch das (noch experimentelle) ZFS
bietet so ein Feature, aber ich gehe mal davon aus, dass
Du das nicht verwendest.)

> Neugierig wie ich bin, habe ich dann
> aber top(1) ausgeführt und ganz an erster stelle war
> find(1)

Wie andere schon schrieben: Zu verschiedenen Anlässen
laufen Cronjobs, die Aufräum-, Statistik- und Sicherheits-
aufgaben durchführen, z.B. SUID/SGID-Binaries prüfen.
Auch die Aktualisierung der locate-Datenbank erfordert ein
lesen der Feastplatte; das passiert alledings nur einmal
pro Woche.

Gestartet werden diese Cronjobs von den harmlos aussehenden
Einträgen »periodic daily«, »periodic weekly« und »periodic
monthly« in /etc/crontab. Sie führen dazu, dass die ent-
sprechenden Skripte in /etc/periodic/* ausgeführt werden
(und /usr/local/etc/periodic/*, sofern vorhanden). Die
Ausgaben werden per Default an root gemailt, was man per
Alias natürlich umleiten kann (bzw. sollte). Du kannst die
Ausgaben aber stattdessen auch unter /var/log abspeichern
und rotieren lassen. Dies und noch viel mehr kann man in
/etc/periodic.conf konfigurieren; siehe die enstprechende
Manpage.

Im Normalfall laufen diese Cronjobs in der Nacht (siehe
/etc/crontab), um den Tagesbetrieb nicht zu stören. Das
funktioniert natürlich nur, wenn die Uhr korrekt einge-
stellt ist. Am besten, man lässt sie mit ntpd synchroni-
sieren.

Andererseits führt das natürlich dazu, dass Desktops und
Workstations, die nur tagsüber einegschaltet sind, die
cronjobs möglicherweise überhaupt nie ausführen. Möchte
man, dass sie dennoch ausgeführt werden, muss man entweder
die Uhrzeiten in /etc/crontab anpassen, oder "@reboot"
reinschreiben, wodurch sie bei jedem Reboot ausgeführt
werden (was allerdings auch störend sein kann). Oder man
führt sie einfach manuell aus, wenn man meint, es wäre
mal wieder an der Zeit (z.B. kurz bevor man in die Mittags-
pause geht).

> So, ich kenne mich wirklich noch nicht so gut aus mit FreeBSD, und kann
> mir deshalb nicht erklären wieso das passiert ist. Ich glaube cron war
> es nicht, da hab ich mir den log angeschaut.

Du solltest eigentlich Einträge in /var/log/cron finden,
es sei denn, Du hast das Logging ausgeschaltet.

> Ich habe auch nie irgendwas in der Richtung konfiguriert.

Die "periodic" cronjobs laufen per Default, da muss man
nichts konfigurieren.

> Beim zweiten Mal wo mir das aufgefallen ist habe ich wieder top
> ausgeführt und wieder stand an erster stelle
> find
> diesmal konnte ich aber auch beobachten, wie kurz darauf
> sendmail

Ja, wie ich oben schrieb, werden die Ausgaben der Cronjobs
an root gemailt, wenn man nichts anderes einstellt.

> Vorallem weil ich glaube mal gelsesen zu
> haben, dass sendmail nicht das sicherste Programm bei FreeBSD ist.

Sorry, aber das ist Bullshit. :-)

Es stimmt, dass sendmail historisch eine stattliche Anzahl
Sicherheitsprobleme aufweist. Das liegt nicht zuletzt da-
ran, dass es faktisch lange Zeit die einzige MTA-Software
für UNIX war und als solche natürlich ein beliebtes An-
griffsziel (ähnliches gilt z.B. für BIND, die UUCP-Suite
und andere Software, die früher fast überall lief). Als
die Software entstand, existierte das Internet in der heu-
tigen Form noch nicht, und Sicherheitsbedenken hat einen
ganz anderen Stellenwert.

Aber das ist alles Vergangenheit. In jüngerer Zeit wurden
bei sendmail eher erheblich weniger neue Lücken entdeckt
als bei den meisten anderen Programmen. Auch sendmail hat,
wie die meisten anderen MTAs, eine Modularisierung und
Rechtetrennung (priviledge separation) implementiert. Ich
würde sendmail heutzutage nicht als weniger sicher als
jeden beliebigen anderen MTA einstufen, insbesondere wenn
man eine halbwegs aktuelle Version verwendet.

Das letzte sendmail-Advisory ist jetzt fast zwei Jahre her.
Wenn Du FreeBSD 6.2 verwendest, ist alles in Ordnung.

Übrigens: Per Default ist sendmail bei FreeBSD so konfigu-
riert, dass es nur lokal erzeugte Mails verschicken kann
(u.a. aus dem Grund, damit Ausgaben von Cronjobs verschickt
werden können), aber es lauscht nicht auf dem Netzwerk,
d.h. es kann Dir niemand von außen etwas anhaben.

> Diese Angelegenheit ist mir sehr wichtig! Nicht nur, weil ich mein
> System gern besser verstehen möchte,

Ich denke, dass Du ein paar Dinge nun besser verstehst.

> sondern auch weil ich extrem sensible Daten auf meinem Rechner habe.

Wer hat die nicht. :-)

> Gnome-2.18.3

Wie andere schon schrieben, kann es gut sein, dass Gnome
auch noch irgendwelche regelmäßigen Dinge tut. Dazu kann
ich leider nichts näheres sagen, da ich Gnome nicht in
die Nähe meiner Rechner lasse.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M.
Handelsregister: Registergericht Muenchen, HRA 74606,  Geschäftsfuehrung:
secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün-
chen, HRB 125758,  Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart
FreeBSD-Dienstleistungen, -Produkte und mehr:  http://www.secnetix.de/bsd
"The scanf() function is a large and complex beast that often does
something almost but not quite entirely unlike what you desired."
        -- Chris Torek
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 10 Jan 2008 - 10:31:25 CET

search this site