Re: OT: sudo und Sicherheitsanforderung

From: Manfred Lotz <manfred.lotz(at)arcor.de>
Date: Fri, 04 Jul 2008 10:57:53 +0200

Hi Dominik,

Dominik Brettnacher wrote:
> On Wed, 2 Jul 2008, Manfred Lotz wrote:
>
>> Ich habe mal eine OT Frage. Habe jetzt in einer Situation erlebt (aus
>> Confidential Gründen kann ich nicht sagen, wo), dass bei der
>> Benutzung von sudo vorgeschrieben wurde, dass wenn in der
>> /etc/sudoers Aufrufe von scripts vorkommen, diese root:root gehören
>> müssen und keinen Zugriff von others erlauben dürfen, also xy0 als
>> Perm haben müssen.
>>
>> Eine fachliche Begründung konnte keiner der Beteiligten geben, mir
>> ist auch keine eingefallen.
>
> Hallo Manfred,
>
> die fachliche Begründung ist: Niemand außer root soll Skripte ändern
> können, die mit root-Rechten ausgeführt werden können. Deshalb kein
> Schreibzugriff für "others". Soweit ist das einleuchtend.
>
o+w wäre schlecht, das ist klar.

> Weiterhin soll sie auch niemand lesen können. Gerade bei Skripten hat
> das einen gewissen Charme, denn sie bestehen ja aus menschenlesbarem
> Quelltext, u.U. findet man dort sogar Passwörter o.ä.
>

Skripte, die Passwörter odes ähnliche Informationen enthalten, müssen eh
immer besonders geschützt werden. Dies ist aber unabhängig von sudo zu
sehen.

> Man könnte das Leseverbot als Security by Obscurity bezeichnen. Aber
> das ist ja per se nicht schlecht, wenn das Sicherheitskonzept nicht
> alleine darauf aufbaut. Ich finde die Maßnahme nicht überbordend
> wirkungsvoll, aber auch nicht sinnlos.
>
Security by Obscurity finde ich fragwürdig. Die Massnahme kann aber
behindern und ist nicht besonders wirkungsvoll, wie du selber sagst.

> Den Einwand, dass jemand, der das Skript benutzt auch gerne wissen
> würde, was es tut, finde ich berechtigt. Man könnte dieses Problem
> dadurch lösen, dass man root:gruppe statt root:root als Besitzer der
> Skripte nimmt und allen Mitgliedern von gruppe Lesezugriff erlaubt.
>
Hmm, macht dann wieder mehr Aufwand, die Admin Leute in die
entsprechenden Gruppen zu hängen.

Vielen Dank für deine Gedanken.

-- 
Manfred
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 04 Jul 2008 - 11:03:59 CEST

search this site