Re: Linux - Programm als root absichern

---

• From: Adrian Knoth <adi@xxxxxxx>
• Date: 15 Jul 2005 19:40:48 GMT

---

Wilhelm Greiner <wilhelm.greiner@xxxxxx> wrote:

> Die dafür bewilligte Zeit ist abgelaufen, das ding ist gegessen.
> Was kann man noch tun um den erwähnten zustand zu verbessern,
> das wäre wohl die besser formulierte Frage gewesen.

Ganz schlechte Voraussetzungen. Du hast es versäumt, den Sicherheits-
aspekt während der Entwicklung zu berücksichtigen, jetzt soll er
nachträglich übergestülpt werden. Und auch dazu hast du eigentlich
nichtmal richtig Zeit.

Wieso packst du das Script nicht in ein 1-Zeilen-C-Programm,
indem du es via system() aufrufst und das Kompilat setuid root
setzt? Permissions noch so einschränken, daß nur der fragliche
Nutzer bzw. dessen Gruppe (extra eine erzeugen) das Teil
ausführen kann. Im Gegenzug müssen diese Nutzer nicht mehr
uid 0 haben.

int main (void) {
return system("/usr/bin/id");
}

Im Allgemeinen wird sowas als eklatantes Sicherheitsrisiko
angesehen. Normalerweise beschränkt man den privilegierten
Bereich auf das Notwendige - so wenig wie möglich. Das
wäre auch der Ansatz gewesen, die root-relevanten Fragmente
in separate, sudo-gestützte Programme auszulagern.



--
mail: adi@xxxxxxx http://adi.thur.de PGP: v2-key via keyserver

Warum gräbst du ein vier Wochen altes posting aus? Geh einfach sterben.
Das wäre für dich doch ein schöner Vorsatz fürs neue Jahr. (Felix Deutsch)
.

---

• Follow-Ups:
  • Re: Linux - Programm als root absichern
    • From: Rudolf Polzer

• References:
  • Linux - Programm als root absichern
    • From: Wilhelm Greiner
  • Re: Linux - Programm als root absichern
    • From: Lutz Donnerhacke
  • Re: Linux - Programm als root absichern
    • From: Wilhelm Greiner

• Prev by Date: Re: Linux - Programm als root absichern
• Next by Date: Re: generierte Mails kommen bei Kunden als Spammails an
• Previous by thread: Re: Linux - Programm als root absichern
• Next by thread: Re: Linux - Programm als root absichern
• Index(es):
  • Date
  • Thread

---

Relevant Pages Re: allofmp3 ftp-Server! ... "Dem Nutzer ist es auf jeden Fall nicht zuzumuten, ... jedenfalls nach deutschem Urheberrecht ganz sicher illegal. ... Prev by Date: ... Next by Date: ... (de.comp.audio) Re: Permanente SSH-Loginversuche ... man in einer einzelnen Verbindung als legitimer Nutzer ... Prev by Date: ... Next by Date: ... (de.comp.security.misc) Sichern und Wiederherstellen eines PaperSourceObjectes ... die vom Nutzer gemachten Druckereinstellungen hinsichtlich des ... Prev by Date: ... Next by Date: ... (microsoft.public.de.german.entwickler.dotnet.csharp) Mail weiterleiten bzw. umleiten ... das zweite ein nutzer hat sein konto bei uns ... Prev by Date: ... Next by Date: ... (microsoft.public.de.exchange) Re: Best and worst of 2005 ... Hitch - solide Komödie mit einem wie immer sympathischen Will Smith ... Les Dalton - Til Schweiger ist das Beste an diesem Film. ... Prev by Date: ... Next by Date: ... (de.rec.film.misc)

---

• Security
• UNIX
• Linux
• Coding
• Usenet

• Archive
• About
• Privacy
• Search
• Imprint

newsgroups.derkeiler.com  > Archive  > De  > de.comp.security.misc  > 2005-07