From: "Morten Liebach" <none@m--mongers.org.lh.bsd-dk.dk> Date: Sat, 3 May 2003 22:41:14 +0200 To: bsd-dk@bsd-dk.dk Subject: Re: Problemer med login via ssh
On 2003-05-03 21:51:51 +0200, norgaard@telho.net wrote:
> On 1 May 2003, Anders S. Jensen wrote:
>
> > Hvis du vil slippe let om konfigurationen i dit hjemme-lab
> > kan du bare tilfÃ?je dit login navn til wheel gruppen i /etc/groups
> > og udkommentere linien med
> > %wheel ALL = (ALL) ALL
> > i /usr/local/etc/sudoers
> > voila, så er du k�rende og beh�ver aldrig mere at logge ind som root.
>
> Er det nu ogsaa saa smart? Sudo laver en session der bliver tilgaengelig i
> alle login sessioner for den paagaeldende bruger i et vist tidsrum, til
> glaede for de hackere der maatte faa adgang udefra - saa meget for
> PermitRootLogin=no. Desuden, kan man med "sudo su" faa fulde privilegier.
Nemmere: sudo -s
Husk også at programmer som vi(1) har shell escapes.
> Reelt betyder det at root-password bliver irrelevant og man har i stedet
> lige saa mange root accounts som der er medlemmer af wheel gruppen.
Men man styrer med hård hånd hvem der er med i den.
> Min pointe er at hvis man ikke restringerer sudo-kommandoer til det
> absolut mest noedvendige giver det hackere langt nemmere mulighed for at
> opnaa priviligeret adgang fordi der er flere mulige svagheder.
>
> Ja, naturligvis kan en hacker forsoege at installere en keylogger og ad
> den vej sniffe root-passwd men hvis man bruger sudo til de fleste
> priviligerede kommandoer man koerer ofte gaar der forhaabenlig lang tid
> foer hackeren faar den fulde adgang - og saa kan man jo haabe at det
> bliver opdaget inden - chancen er i hvert fald stoerre...
Hvis en cracker først kommer så langt som til at kunne installere en
keylogger så har der været Game Over flere trin forinden.
Det samme gælder hvis crackeren kan tilføje sig til wheel gruppen.
I det hele taget er der ikke noget reelt forsvar imod lokale brugere,
i hvert fald ikke på Unix lignende systemer. Der har været patches ude
til forskellige systemer der hærder dem på forskellig vis, og ændrer
forskellige ting i systemet så man kan blive i tvivl om det i det hele
taget er Unix længere. Om de er effektive eller ej aner jeg ikke.
Se f. eks. Stephanie for OpenBSD: http://www.innu.org/~brian/Stephanie/
> Derfor mener jeg man boer konfigurere sudo restriktivt, webadmin skal
> naturligvis kunne editere config og genstarte apache men det er ikke
> noedvendigt ogsaa at kunne skrive til password filen.
Princippet om færrest privilegier. Det er det altid godt at følge.
> Er jeg paranoid eller tager jeg fejl?
Din 'noia får dig til at tage fejl. :)
Ideen i at gøre det sværest muligt er god, men husk at der er flere ting
der allerede er gået galt inden crackeren kommer så langt som til at
kunne køre sudo kommandoen.
> "I now inform you that you are too far from reality"
> - Iraqui information minister
Fed quote. Han skulle have informeret sig selv lidt.
Med venlig hilsen
Morten
--
OpenPGP: 0xF1360CA9 - 8CF5 32EE A5EC 36B2 4E3F ACDF 6D86 BEB3 F136 0CA9
Morten Liebach <none@m--mongers.org.lh.bsd-dk.dk> - http://m.mongers.org/
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET