Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=011143f69bbf38e693ecfd007a71b7c1 profile.php?mode=register&sid=011143f69bbf38e693ecfd007a71b7c1 faq.php?sid=011143f69bbf38e693ecfd007a71b7c1 memberlist.php?sid=011143f69bbf38e693ecfd007a71b7c1 search.php?sid=011143f69bbf38e693ecfd007a71b7c1 index.php?sid=011143f69bbf38e693ecfd007a71b7c1

Foren-Übersicht » Linux und andere Unixe » Benutzerrechte einschränken
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
Benutzerrechte einschränken
BeitragVerfasst am: 20.04.2006 19:05 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Hallo zusammen,

ich möchte gerne die Rechte eines normalen Users in der Gruppe "users" einschränken.

Ich habe mir da gerade überlegt z.B. den Zugriff auf die Dateien "ps", "df" und sowas zu verweigern, damit ein Benutzer z.B.

- nicht sehen kann, welche Dienste auf dem Server alle aktiv sind
- per df z.B. nicht sehen kann wie viel Plattenplatz vorhanden/frei etc. ist

Ich könnte da jetzt noch mehr aufzählen, aber ich denke ihr wisst was ich meine.

Macht das Sinn und was haltet ihr von der Idee?
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 20.04.2006 20:00 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Dohv wozu gibt es chroots?

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 20.04.2006 21:41 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

ja sowas macht schon sinn wenn man es einne Angreifer erschweren möchte noch größeren Scahden anzurichten wenn er erstmal die Rechte eines normalen users hat.

Aber sinnvoll dazu die Rechte der Benutzer der Gruppe "users" einzuschränken ist es nicht.
Warum?
Ganz einfach:

z.B. kann man wenn man direkten Konsolen Zugang hat mittels STRG+Rollen sich auchalles Prozesse anzeigen lassen. Oder einfach das programm top benutzt. Natürlich könnte man sich auch mittels lsof nach Prozessen suchen.
Ganz rafiniert wäre es wenn man das /proc-Verzeichnis schön durchsucht- dieswäre zwar was mühsam aber letztendlich kann man auch so zum Ziel. Es ist sowieso der Fall, dass das /proc-Verzeichnis eine Menge Informationen bietet.

Es gibt viele Möglichkeiten ein Linux System gegen solche Dinge abzuschotten. Ich will hier mal ein paar Schlagwörter nenen obwohl die vorgestellten maßnahmen nochweit über das hinaus gehen(z.B. Schutz vor Pufferüberläufe, ect.):
Openwall Patch[1]
LIDS[2]
SELinux[3]
RSBAC[4]
chroots[5]


Damit sollten genug Möglichkeiten genannt sein die einem das System noch sicherer machen. Doch eines sollte man dabei bedenken, damit steigt der Administrationsaufwand und es stellt sich die Frage ob sich das lohnt. Somit muss man Sicherheit immer in Relation zum Aufwand sehen und was man damit erreichen bzw. schützen möchte.
Außerdem ist die gröte Schwachstelle immer noch der Mensch Wink



[1] http://www.openwall.com/linux/
[2] http://www.lids.org/
[3] http://www.nsa.gov/selinux/
http://www.mitre.org/tech/selinux/
[4] http://www.rsbac.org/
[5] http://www.linuxfocus.org/Deutsch/January2002/article225.shtml

mfg duddits


Zuletzt bearbeitet von duddits am 20.04.2006 22:00, insgesamt einmal bearbeitet

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 20.04.2006 21:46 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Danke für die Tipps. Mit dem Aufwand haste recht, denn eigentlich sollte keiner an die Rechte kommen und schon gar nicht an eine Shell.

Ich muss mich wenn dann mal mit chroots beschäftigen - das ist sicher erstmal ein guter Anfang.

Zitat:
z.B. kann man wenn man direkten Konsolen Zugang hat mittels STRG+Rollen sich auchalles Prozesse anzeigen lassen


z.B. kann auch jemand meinen Schlüssel klauen und dann bei mir durch die Haustüre gehen. Es wird über das Internet wohl nie jemand direkten Zugang bekommen!

top und lsof könnte man dann auch sperren aber der Aufwand lohnt sich wohl wie schon gesagt nicht.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 20.04.2006 21:55 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Link [4] ist broken und müsste http://www.rsbac.org/ heißen Wink

Ich verwende eigentlich nur SELinux für alle und chroots für den FTP (wenn ich ihn denn dann mal wieder aufsetzen sollte..)
Rsbac hört sich aber auch interessant an...
Werd ich mich mal genauer mit befassen Wink

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 20.04.2006 22:00 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

ok danke hab mich da wohl vertippt. Ja rsbac ist wirklich interessant kenne es auch noch nicht so lange.
http://www.grsesecurity.org/ ist auch nicht schlecht. Bietet aber eingentlich das gleiche.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
Benutzerrechte einschränken
Foren-Übersicht » Linux und andere Unixe
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum