| View previous topic :: View next topic |
| Author |
Message |
ro
Apprentice
Joined: 28 Mar 2003
Posts: 289
|
 Posted: Wed Mar 08, 2006 12:12 pm Post subject: linux security - executables |
 |
|
Hi,
Also ich hab mir grad über folgendes den Kopf zerbrochen (ich hoffe es kommt so rüber wie ich mir das vorstelle): Wenn ich einen Server hab auf dem sich die User einloggen können und diverse Programme benutzen können, wie kann ich zB verhindern, dass jemand mit scp von irgendwo einen Exploit holt und ausführt? Ich mein, home Verzeichnis mit noexec mounten ok, aber wie siehts mit /tmp aus? Gibt es da irgendeine Lösung, dass zB wirklich nur die executables + shared libs. ausgeführt werden dürfen, die sich auf dem System befinden? Oder dass diese files (ex. + shar.libs) vor der exekution mit einer signatur verglichen werden?
_________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. |
|
| Back to top |
|
 |
Finswimmer
Bodhisattva
Joined: 02 Sep 2004
Posts: 5467
Location: Langen (Hessen), Germany
|
| Posted: Wed Mar 08, 2006 12:50 pm Post subject: |
|
|
Hmm, wenn du /tmp auf noexec setzt, dann laufen trotzdem alle Systemprogramme, also alles Dateien, die in /usr/bin /sbin /usr/sbin liegen.
Das bedeutet nur, dass du keine Datei aus dem Internet runterladen kannst, diese dann in /tmp speichern, und dann dort ausführen kannst.
Das geht nicht.
Bist du root, verschiebst du diese Datei dann in ein Verzeichnis, wo das erlaubt ist, und alles geht.
Habe ich das jetzt richtig verstanden?
Tobi
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke |
|
| Back to top |
|
|
STiGMaTa_ch
Veteran
Joined: 28 Dec 2004
Posts: 1686
Location: Rüti ZH / Schweiz
|
| Posted: Wed Mar 08, 2006 1:22 pm Post subject: Re: linux security - executables |
|
|
| ro wrote: | | [...]wie kann ich zB verhindern, dass jemand mit scp von irgendwo einen Exploit holt und ausführt? |
In dem du deinen Usern immer eine Nasenlänge voraus bist und etwaige Exploits umgehendst fixt. 
Ansonsten hast du IMHO nicht wirklich viele chancen...
@Edit
Naja, ausser du stellst dein System komplett auf Hardened Gentoo um. Dort kannst du z.B. Leute sogar als root einloggen lassen ohne dass die irgendwas anstellen können. Aber ob sich der Aufwand dafür lohnt musst du selber wissen
Lieber Gruss
STiGMaTa
_________________
Ich bin Schuldknappe. Das bedeutet ich bin immer an allem Schuld. Und das nicht zu knapp! | Der alltägliche Familienwahnsinn auf meinem BLOG |
|
| Back to top |
|
|
ro
Apprentice
Joined: 28 Mar 2003
Posts: 289
|
| Posted: Wed Mar 08, 2006 5:16 pm Post subject: |
|
|
ich hab hier schon gentoo-hardened. leider fehlt mir momentan die Zeit, um mich in SE-Linux/GRsec./RSBAC etc. einzuarbeiten. aber nach kurzem suchen hab ich mir gedacht hört sich http://www.lids.org/document/LIDS-TPE-feature.txt recht interessant an. Für mich ist es quasi von geringem Nutzen, aber ich möchte - weils mich einfach interessiert - ein sehr sicheres system aufbauen (a la linux vs. openbsd). und die sache mit der signatur wär schon interessant ... zwar sicherlich performance overhead, aber darum gehts nicht. weil wenn so eine implementierung existiert und auch ziemlich sicher + fix im kernel verankert ist würde das die systemsicherheit imho stark verbessern.
_________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Wed Mar 08, 2006 7:47 pm Post subject: |
|
|
Und was genau spricht jetzt gegen ein noexec /tmp mount?
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
sirro
Veteran
Joined: 20 Jul 2003
Posts: 1472
Location: aachen.nrw.de.eu
|
| Posted: Wed Mar 08, 2006 9:01 pm Post subject: |
|
|
| Finswimmer wrote: | Das bedeutet nur, dass du keine Datei aus dem Internet runterladen kannst, diese dann in /tmp speichern, und dann dort ausführen kannst.
Das geht nicht. |
Skripte gehen auch noch wenn sie auf noexec-gemounteten Laufwerken liegen.
Normale Executables sollen aber auch über Umwege gehen, da weiß ich aber nichts genaueres drüber. (Kann auch behoben sein)
Kurz: noexec ist ganz nett, aber verlassen würde ich mich darauf nicht. Mit Skripten kann man schon genug Unfug machen. |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Wed Mar 08, 2006 9:23 pm Post subject: |
|
|
| sirro wrote: | | Finswimmer wrote: | Das bedeutet nur, dass du keine Datei aus dem Internet runterladen kannst, diese dann in /tmp speichern, und dann dort ausführen kannst.
Das geht nicht. |
Skripte gehen auch noch wenn sie auf noexec-gemounteten Laufwerken liegen.
Normale Executables sollen aber auch über Umwege gehen, da weiß ich aber nichts genaueres drüber. (Kann auch behoben sein)
Kurz: noexec ist ganz nett, aber verlassen würde ich mich darauf nicht. Mit Skripten kann man schon genug Unfug machen. |
Das stimmt natürlich, jedoch muss man es den Leuten ja nicht zuuu einfach machen.
Es ist ja oft eine Kombination aus "Lücken" die einen erfolgreichen (zumindest vom Menschen persönlich geführten) Hack überhaupt erst möglich machen.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
sirro
Veteran
Joined: 20 Jul 2003
Posts: 1472
Location: aachen.nrw.de.eu
|
| Posted: Thu Mar 09, 2006 1:23 pm Post subject: |
|
|
| Anarcho wrote: | | Das stimmt natürlich, jedoch muss man es den Leuten ja nicht zuuu einfach machen. |
Selbstverständlich. Wer will das schon?
Das war auch kein Argument gegen noexec, sondern ein Hinweis am Rande, dass es immer noch genug Möglichkeiten gibt.
Ich hatte selber immer noexec für /tmp drin, da ich dort nie etwas ausgeführt habe. |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
