Eine Antwort schreiben

Schreibe deinen Beitrag und versende ihn
Beitragsoptionen
Deine Antwort

Zurück

Themen-Übersicht (Neuester Beitrag zuerst)

TBone
10.06.2019 21:26:21
akarvi schrieb:

das bei Nutzeranmeldung die /etc/network/interfaces ändert.

Du bist raus!

akarvi
10.06.2019 21:16:56
schard schrieb:

@wirr: Und dann zieht sich der unberechtigte Benutzer via curl oder wget das firefox Paket von einem Mirror und entpackt die Binary nach ~/.local/bin und keiner hat was gewonnen.

Wenn der unberechtigte Benutzer DAS durchzieht, kennt er sich womöglich schon so gut aus, dass es sowieso schwieriger wird. Dann kennt er womöglich auch andere Tricks, an gewisse Rechte zu gelangen.
Also: Kenntnisse des Users (z.B. Kinder?) einschätzen und entsprechend konfigurieren oder Rechte so restriktiv einrichten, dass auch ein kompetenter User (zumindest unter seinem Login) nichts ausrichten kann. Z.B. mittels default umask oder ACLs. Dann können keine Programme ohne Eingriff des Admins mehr ausgeführt werden, egal wo sie liegen. chmod und chown sollte man natürlich entsprechend sperren.

Um z.B. Linux-kompetenten Kindern die Nutzung eines Browsers zu gestatten, aber nur bestimmte Seiten zuzulassen, würde ich z.B. eher mit nem eigenen DNS/Routen arbeiten. Am besten dann natürlich auf nem eigenen Kinder-Rechner, wo auch die Rechte der Nutzer entsprechend restriktiv sind. Wenns auf dem Eltern-PC sein soll, dann geht auch das per Script, das bei Nutzeranmeldung die /etc/network/interfaces ändert.


Ansonsten apparmor.

schard
29.05.2019 21:02:51

Bitte bleibt beim Thema und nach Möglichkeit hilfreich, danke.

TBone
29.05.2019 18:32:32
wirr schrieb:

Die Angreifer wissen einfach zu wenig und ein erfolgreicher Angriff wäre nicht schlimm.

Oh nein, das schockt mich jetzt von der ganzen Beschreibung aus dem Text her aber total!

wirr
29.05.2019 17:46:10

Ich glaube gegen deine Bedenken hilft zu einem grossen Teil 'rbash' (Kapitel RESTRICTED SHELL in der bash man page).
Es kann aber sein, dass rbash völlig über das Ziel hinaus schiesst: Die Angreifer wissen einfach zu wenig und ein erfolgreicher Angriff wäre nicht schlimm.

Mit chroot kann man relativ einfach eine Whitelist von erlaubten Programmen umsetzen. Die Frage war aber, wie man gewisse Programme sperren kann.

TBone
29.05.2019 17:13:17
wirr schrieb:

Warum nennt ihr die Tricks nicht?

Weil ich gar nicht alle kenne. Es gibt mit Python da ein paar schöne Tricks. Kurz gesagt, verbiete auch alle Interpreter. (PHP, Python, Perl, usw).
Dann schließe ich nicht aus, dass die Bash ein paar schöne versteckte Funktionen hat (Ist ja schön bloated), die man eventuell dafür nutzen kann. Dann verbietest du am besten auch noch alle Shells, die auf deinem System so installiert sind.
Hast du auf deinem System irgendein Programm installiert, welches nachladbare Module hat? Dann verbiete auch diese.

Ich sagte nie, dass ein chroot die Lösung ist. Es ist ein Tool, um weniger Binaries einem Nutzer zur Verfügung zu stellen, deren Funktionen du nicht abschätzen kannst.

wirr
29.05.2019 17:00:08
TBone schrieb:

Ja, weil schon hast du /tmp und noch ein paar schöne Verzeichnisse vergessen und vor allem ein paar schöne Tricks, die da noch existieren.

Warum nennt ihr die Tricks nicht?
Weil nicht die Frage 'wie verhindere ich, dass Benutzer beliebige Software aus dem Internet starten' gestellt wurde?
Wie hilft chroot dagegen?

TBone schrieb:

Ihr veranstaltet hier ein Theater für Pseudosicherheit

Es ist ein kleiner Schritt, der alleine euch nicht aufhalten würde irgendeinen firefox zu starten, aber /usr/bin/firefox.

Ob das dem OP oder brikler genügt, ist ihre Entscheidung.

Galde75
29.05.2019 05:18:50

Sind eigentlich nicht selinux und apparmor dafür da Zugriffsrechte zu regeln?

TBone
29.05.2019 02:04:46
wirr schrieb:

Will man das verhindern, kann man z.B. $HOME mit der noexec Option mounten oder curl und wget entfernen.

Das ist aber eine andere Frage?

Ja, weil schon hast du /tmp und noch ein paar schöne Verzeichnisse vergessen und vor allem ein paar schöne Tricks, die da noch existieren.
Ihr veranstaltet hier ein Theater für Pseudosicherheit und das sage ich, dem das bisher nicht nur von Arch-Paket-Maintainern vorgeworfen wurde.

wirr
28.05.2019 22:38:49

Will man das verhindern, kann man z.B. $HOME mit der noexec Option mounten oder curl und wget entfernen.

Das ist aber eine andere Frage?

schard
28.05.2019 22:26:58

@wirr: Und dann zieht sich der unberechtigte Benutzer via curl oder wget das firefox Paket von einem Mirror und entpackt die Binary nach ~/.local/bin und keiner hat was gewonnen.

wirr
28.05.2019 22:17:14

Man erstellt eine Gruppe, fügt die gewünschten Benutzer hinzu und nimmt den andern die Rechte weg:

# groupadd firefox
# usermod -aG firefox user
# chown root:firefox /usr/bin/firefox
# chmod 750 /usr/bin/firefox

Mit einem pacman hook kann man die Rechte bei einem Update automatisch anwenden:

# mkdir -p /etc/pacman.d/hooks
# cat /etc/pacman.d/hooks/firefoxpermissions.hook 
[Trigger]
Operation = Install
Operation = Upgrade
Type = Package
Target = firefox

[Action]
Description = Beschränke Zugriff auf firefox
When = PostTransaction
Exec = /bin/sh -c '/usr/bin/chown root:firefox /usr/bin/firefox ; chmod 750 /usr/bin/firefox'
TBone
28.05.2019 22:09:34

Deine Funktion ruft was genau auf? Überleg mal selbst, wie man diese Funktion einfach umgehen könnte.

Galde75
28.05.2019 21:54:29

Ich hab mich mit dem Thema noch nicht so befasst, daher nur Theorie.

Meine Idee ist ein Alias/Function zu schreiben das vor dem Ausführen den User prüft?

brikler
28.05.2019 20:21:16
TBone schrieb:
brikler schrieb:

ich dachte eher, an die leben kleinen, die vielleicht nicht alle papas programme ausführen können sollten, du verstehst?^^

Du meinst einen Browser?

es war ganz allgemein gedacht, aber der browser ist ein gutes beispiel

Fußzeile des Forums

Powered by FluxBB