Sbit

[the_condor]

Hallo,

ich lese gerade ein Buch über Sicherheit auf Servern.

Jetzt bin ich bei dem Thema Sbit und z.b der Datei passwd wo ja z.b /usr/bin passwd verantwortlich ist.

Im Buch schreiben die das es ein muß ist das Sbit zu entziehen, da Ansonsten jeder da rumspielen kann, da die Datei Root Rechte enthält. Und ein User sich andere Rechte geben könnte.

Wollte mal eure Meinungen dazu lesen, sorry habe in der Boardsuche nix gefunden.

mfg
the_condor

 

[mkr]

Gewisse Programme wie passwd müssen das SetUID-Bit gesetzt haben. Ohne Root-Rechte könnten sie nicht auf die /etc/shadow zugreifen, schon gar nicht mit Schreibzugriff.

Programme mit gesetztem SetUID-Bit sind natürlich ein potentielles Sicherheitsrisiko. Deshalb sollten möglichst wenig Programme das Bit gesetzt haben, und die sollten gut getestet sein. Auf einem Rootserver kann man beispielsweise Programmen wie dem Printspooler das SetUID-Bit entziehen, da eh kein User einen Drucker am Server benötigt.

 

[the_condor]

Hallo,

ja was Du da schreibst war auch mein Bedenken, jedoch haben die da eine ganze Liste mit Bereichen dennen man das Sbit entziehen sollte.
Bevor ich das aber Umsetze bin ich bei euch und eueren Tipps erstmal besser aufgehoben, kommt Natürlich auch immer aufen den Programmierer an.

mfg
the_condor

 

[Huschi]

Die passwd wird gebraucht um neue Passwörter zu setzen. Sollte man keine User auf dem Server mit Shell-Zugang haben, die Ihre Passwörter auch in der Shell setzten dürfen, dann kann man hier tatsächlich das suid-Bit löschen.
Plesk, Confix, etc. brauchen die passwd nicht, bzw werden eh schon mit root-Rechten ausgeführt wenn sie entsprechende Aktionen durchführen sollen.

Auf der anderen Seite:
passwd ist so ein altes und so oft überprüftes Programm, daß ich es schon seltsam fände, wenn dort wirklich noch ein wesentlicher Fehler drin stecken würde. Daher würde ich in dem Fall auf die Arbeit verzichten.

PS: Welches Buch ist es denn?

huschi.

 

[the_condor]

@Huschi
Linux Server - Sicherheit von D.Bauer 2.Auflage
389721413X

und Zusätzlich Intrustion Detection von Spenneberg (Snort,IDS und Co)
3827321344

mfg
the_condor

 

[Huschi]

Da hast Du Dir wirklich zwei gute Bücher ausgesucht,
Beim Ralf Spenneberg war ich mal in einem Workshop vom BSI. Der ist echt klasse. Der bringt die Materie mit wahnsinnig viel Elan und Motivation rüber. Da bleibt allein schon vom Zuhören was hängen.
Wer ein bisschen (zuviel) Geld hat, sollte sich sowas mal antun...

Naja, und mit O'Reilly-Büchern liegt man i.d.R. auch nicht falsch. Wobei die in letzter Zeit von der inhaltlichen Qualität gewaltig nachlassen.

huschi.

 

[Moestchen]

und Zusätzlich Intrustion Detection von Spenneberg (Snort,IDS und Co)
3827321344

Vom Ralf Spenneberg gibt es auch verschiedenste Materialien online,
u.a. auch etwas zu IDS.


Viele Grüße

 

[Huschi]

Ja, daß ist sein erstes Buch dazu. Teilweise noch heute interessant aber die o.g. 2.Auflage/Fortsetzung davon ist deutlich aktueller und moderner. (Obwohl inzwischen auch schon wieder etwas überaltert... )

huschi.

 

[the_condor]

Hallo,

die 2 Bücher waren nicht gerade Billig, aber da mich das Thema Server, Anwendungen und Sicherheit sehr Intressiert habe ich das mal Ausgegeben.

Das Buch von O´Reilly ist nicht falsch, könnte aber doch für den Preis noch besser vom Inhalt sein.

Mich Persönlich würden mal die Linux Tage Intressieren

Aber zurück zum Thema:

Ich befolge mal seine Ratschläge und nimm das Sbit/SGid aus div Anwendungen raus.
Was mir dennoch ein Rätzel ist warum MYSQL ne /bin/bash hat und nicht auf false oder nologin steht.

mfg
the_condor