Du bist nicht angemeldet.

Eine Antwort schreiben

Schreibe deinen Beitrag und versende ihn
Beitragsoptionen
Deine Antwort

Zurück

Themen-Übersicht (Neuester Beitrag zuerst)

TBone
05.07.2019 20:30:04
stefanhusmann schrieb:

Ich

Das ist ja richtig widerlich.

brikler
05.07.2019 19:50:21
J4son
05.07.2019 19:13:02
stefanhusmann schrieb:
TBone schrieb:

Wer nutzt in Zeiten von systemd denn noch cron?

Ich, und viele andere.

Ehrlich gesagt sehe ich auch keinen Grund, dies zu ändern.

:thumbsup:

stefanhusmann
05.07.2019 19:08:19
TBone schrieb:

Wer nutzt in Zeiten von systemd denn noch cron?

Ich, und viele andere.

Ehrlich gesagt sehe ich auch keinen Grund, dies zu ändern.

schard
05.07.2019 16:25:47

@tuxnix
Dann legt der versierte Benutzer stattdessen halt Systemd-User Units (.service / .timer) an.
Edit: ninja'd

TBone
05.07.2019 16:25:15

Wer nutzt in Zeiten von systemd denn noch cron?

tuxnix
05.07.2019 16:04:17

Wie man zumindest mal für cron Benutzer aussperren kann ist hier beschrieben.
https://exdc.net/2019/07/01/kurztipp-cr … ktivieren/

TBone
10.06.2019 21:26:21
akarvi schrieb:

das bei Nutzeranmeldung die /etc/network/interfaces ändert.

Du bist raus!

akarvi
10.06.2019 21:16:56
schard schrieb:

@wirr: Und dann zieht sich der unberechtigte Benutzer via curl oder wget das firefox Paket von einem Mirror und entpackt die Binary nach ~/.local/bin und keiner hat was gewonnen.

Wenn der unberechtigte Benutzer DAS durchzieht, kennt er sich womöglich schon so gut aus, dass es sowieso schwieriger wird. Dann kennt er womöglich auch andere Tricks, an gewisse Rechte zu gelangen.
Also: Kenntnisse des Users (z.B. Kinder?) einschätzen und entsprechend konfigurieren oder Rechte so restriktiv einrichten, dass auch ein kompetenter User (zumindest unter seinem Login) nichts ausrichten kann. Z.B. mittels default umask oder ACLs. Dann können keine Programme ohne Eingriff des Admins mehr ausgeführt werden, egal wo sie liegen. chmod und chown sollte man natürlich entsprechend sperren.

Um z.B. Linux-kompetenten Kindern die Nutzung eines Browsers zu gestatten, aber nur bestimmte Seiten zuzulassen, würde ich z.B. eher mit nem eigenen DNS/Routen arbeiten. Am besten dann natürlich auf nem eigenen Kinder-Rechner, wo auch die Rechte der Nutzer entsprechend restriktiv sind. Wenns auf dem Eltern-PC sein soll, dann geht auch das per Script, das bei Nutzeranmeldung die /etc/network/interfaces ändert.


Ansonsten apparmor.

schard
29.05.2019 21:02:51

Bitte bleibt beim Thema und nach Möglichkeit hilfreich, danke.

TBone
29.05.2019 18:32:32
wirr schrieb:

Die Angreifer wissen einfach zu wenig und ein erfolgreicher Angriff wäre nicht schlimm.

Oh nein, das schockt mich jetzt von der ganzen Beschreibung aus dem Text her aber total!

wirr
29.05.2019 17:46:10

Ich glaube gegen deine Bedenken hilft zu einem grossen Teil 'rbash' (Kapitel RESTRICTED SHELL in der bash man page).
Es kann aber sein, dass rbash völlig über das Ziel hinaus schiesst: Die Angreifer wissen einfach zu wenig und ein erfolgreicher Angriff wäre nicht schlimm.

Mit chroot kann man relativ einfach eine Whitelist von erlaubten Programmen umsetzen. Die Frage war aber, wie man gewisse Programme sperren kann.

TBone
29.05.2019 17:13:17
wirr schrieb:

Warum nennt ihr die Tricks nicht?

Weil ich gar nicht alle kenne. Es gibt mit Python da ein paar schöne Tricks. Kurz gesagt, verbiete auch alle Interpreter. (PHP, Python, Perl, usw).
Dann schließe ich nicht aus, dass die Bash ein paar schöne versteckte Funktionen hat (Ist ja schön bloated), die man eventuell dafür nutzen kann. Dann verbietest du am besten auch noch alle Shells, die auf deinem System so installiert sind.
Hast du auf deinem System irgendein Programm installiert, welches nachladbare Module hat? Dann verbiete auch diese.

Ich sagte nie, dass ein chroot die Lösung ist. Es ist ein Tool, um weniger Binaries einem Nutzer zur Verfügung zu stellen, deren Funktionen du nicht abschätzen kannst.

wirr
29.05.2019 17:00:08
TBone schrieb:

Ja, weil schon hast du /tmp und noch ein paar schöne Verzeichnisse vergessen und vor allem ein paar schöne Tricks, die da noch existieren.

Warum nennt ihr die Tricks nicht?
Weil nicht die Frage 'wie verhindere ich, dass Benutzer beliebige Software aus dem Internet starten' gestellt wurde?
Wie hilft chroot dagegen?

TBone schrieb:

Ihr veranstaltet hier ein Theater für Pseudosicherheit

Es ist ein kleiner Schritt, der alleine euch nicht aufhalten würde irgendeinen firefox zu starten, aber /usr/bin/firefox.

Ob das dem OP oder brikler genügt, ist ihre Entscheidung.

Galde75
29.05.2019 05:18:50

Sind eigentlich nicht selinux und apparmor dafür da Zugriffsrechte zu regeln?

Fußzeile des Forums

Powered by FluxBB