Gå til innhold

Sikre boxen mot brukere

magnarl

Av magnarl
i Operativsystemer

Anbefalte innlegg

magnarl

magnarl

Skrevet
Skrevet (endret)

Hei, jeg tenkte å ha endel shell brukere på boxen min, men jeg er redd for at sikkerheten ikke er god nok og det vil sette brukerene i stand til å for eksempel kjøre endel script og tilegne seg root access. Noen som har noen tips for å gjøre serveren generelt mer sikker mot sånt?

Endret av magnarl
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Terrasque

Terrasque

Skrevet
Skrevet

det jeg mente var at hvis du bare skal web og ftp, ikke installer X, sql server, nmap, telnet, icecast, samba +++.

 

Hver extra service er en ekstra vei inn. Hvert ekstra suid program er et nytt angrepspunkt.

 

Ellers kan det være lurt å fjerne/begrense scriptspråk som python, perl, tcl og lignende, og sette nosuid på /tmp og /home. Kanskje mekke en wheel eller admin gruppe som begrenser tilgang til suid programmer (su f.eks)

Lenke til kommentar
nixtus

nixtus

Skrevet
Skrevet

jeg kjører shell med over 5 brukere på den

skal ikke si at alle der er flinke til å kjøre programmer som skader pc'en osv, men man må sikre systemet uansett.

det du bør gjør er å nekte dem tilgang til noen andre mapper enn home dir'en. så kan du jo også sette på restricted commands på brukerne også ;)

prøv google, finner mye bra tutorials om hva som bør sikres osv,..

Lenke til kommentar
gspr

gspr

Skrevet
Skrevet

-Kjør så få daemons som root som bare mulig.

-Ha så få (les: helst ingen) programmer med SUID root som bare mulig.

-Pass på sikkerhetshull i kernel og root-programvare! (Heng deg på distroen din sin sikkerhets-mailingliste).

Lenke til kommentar
Torbjørn

Torbjørn

Skrevet
Skrevet (endret)
det første du da bør gjøre er å nekte dem å laste opp og sekvensiere perl-script. har hørt om slike scripts som lar deg få root-tilgang på en maskin...

hihi, unnskyld meg men det er noe av det latterligste jeg har hørt på lenge :)

 

perl skript er ikke usikrere enn hvilken som helst annen linux kommando du kan utføre i shellet :)

 

EDIT: jeg arbedier til daglig med å sekvensere gener, sekvensering av perlskript var nytt for meg :)

Endret av Torbjørn
Lenke til kommentar
ilpostino

ilpostino

Skrevet
Skrevet
det første du da bør gjøre er å nekte dem å laste opp og sekvensiere perl-script. har hørt om slike scripts som lar deg få root-tilgang på en maskin...

hihi, unnskyld meg men det er noe av det latterligste jeg har hørt på lenge :)

 

perl skript er ikke usikrere enn hvilken som helst annen linux kommando du kan utføre i shellet :)

 

EDIT: jeg arbedier til daglig med å sekvensere gener, sekvensering av perlskript var nytt for meg :)

Ved å utføre dette søket på Google finnes haugevis av sider som beskriver hvordan en kan utnytte expoits i diverse distroer til å få root-tilgang ved hjelp av et cgi-script... så det er mulig.... (Tror vi snakket litt forbi hverandre her Torbjørn). det at kommandoene i et script kjører med de rettigheter scriptet har er da bare naturlig...

 

når det gjelder ordet sekvensiering så kan jeg opplyse om at dette betyr noe slikt som "å utføre". så når en sekvensierer en kode så vil dette bare si at koden kjøres....

Lenke til kommentar
gspr

gspr

Skrevet
Skrevet

:laugh::laugh:

 

Rull inn her du, da - det er vel ikke "eksekvere" du tenker på?

eksekvere

~kve´re v2 (fra lat. exsequi 'følge etter, fullføre')

  1 iverksette, fullbyrde (dom, straff) e- straffen, dødsdommen

  2 gjøre *eksekusjon (2) i .

Heller ikke "eksekvere" ser ut til å passe helt for "å utføre" et program. Det ser ut til å for det meste gjelde henrettelser og slikt. Nå er jo også det den opprinnelige betydningen av det engelske ordet "execute" (som du sikkert tenker på), og kanskje norskordboken ikke er blitt helt oppdatert etter informasjonsteknologiens inntog.

 

"Sekvensiere" står ikke i ordboken min, men at det betyr "å utføre" har jeg vanskelig for å tro. Ser man på den engelske oversettelsen, "to sequence", får vi vite følgende:

se·quence 

n.

 

  1. A following of one thing after another; succession.

  2. An order of succession; an arrangement.

  3. A related or continuous series. See Synonyms at series.

  4. Games. Three or more playing cards in consecutive order; a run.

  5. A series of related shots that constitute a complete unit of action in a movie.

  6. Music. A melodic or harmonic pattern successively repeated at different pitches with or without a key change.

  7. Roman Catholic Church. A hymn sung between the gradual and the Gospel.

  8. Mathematics. An ordered set of quantities, as x, 2x2, 3x3, 4x4.

  9. Biochemistry. The order of constituents in a polymer, especially the order of nucleotides in a nucleic acid or of the amino acids in a protein.

Understreket betydning er Torbjørns form for sekvensiering, og det er også denne betydningen av ordet som slår meg først når jeg hører ordet. Å utføre ville ikke falt meg inn på en god dag.
Lenke til kommentar
Torbjørn

Torbjørn

Skrevet
Skrevet

ilpostino, søk på: shell exploit root, det gir dobbelt så mange treff, vil det si at det er dobbelt så farlig å gi folk shell som det er å la dem kjøre perl?

 

for ikke å nevne en annen vesentlig forskjell:

cgi er ikke det samme som perl

 

cgi er et interface for å kjøre programmer gjennom http.

Lenke til kommentar
ilpostino

ilpostino

Skrevet
Skrevet
for ikke å nevne en annen vesentlig forskjell:

cgi er ikke det samme som perl

 

cgi er et interface for å kjøre programmer gjennom http.

vet at det er forskjell på cgi og perl... det har jeg blitt oppmerksom på etter dine glimrende inlegg i Perl-delen av forumet

 

:thumbup:

Lenke til kommentar
nesquik

nesquik

Skrevet
Skrevet

Ok, her var det mye bullshit og mye preik som er totalt irrelevant og basert på gudene-vet-hva... Dog noen gode poeng kom fram.

 

Jeg begynner med det som er RIKTIG:

- Ha kun det du og brukerene dine TRENGER. Sørg for at du har en distro som baserer seg på sikkerhet og godt testa løsninger. Meld deg på denne distroens security-mailingliste så du får sikkerhets-råd så fort de eksisterer for din distro.

 

- Ta en titt på f.eks pam ! Mange distroer leveres med frie rettigheter til brukerene, som kan la en bruker "kræsje" maskinen med f.eks en fork-bomb. Dette kan du sikkre deg mot ved å begrense prosess-bruken til brukerene.

 

- Om du har få brukere (0-10 f.eks) kan du sette opp shellene til brukerene slik at de ikke kan slette "history"-filen sin. Mao; du kan alltid se hvilke kommandoer de kjører. Du setter filer "append only" slik (som root): chattr +a <fil>

F.eks: chattr +a .bash_history

 

Så for å ta for meg litt bullshit:

Selv om du ikke lar folk "laste opp" perl-script er dette bare en idiotisk løsning. Allt du kan gjøre med perl kan du også gjøre med f.eks C, og ofte også helt vanlige bash-script. Så å sperre tilgangen til perl er bare "security through obscurity", som de fleste seriøse folk vet ikke virker.

 

All fokusen på exploits er litt tullete. Det finnes sikkert en dullion exploits der ute, men det betyr ikke at alle er like relevante i dag. Exploits er mest aktuelt for utviklere og folk som arbeider med sikkerhets-analyser.

 

Og hvem faen bryr seg om det er eksekvere, sekvensiere eller onanere?

Lenke til kommentar
slime mold

slime mold

Skrevet
Skrevet
Og hvem faen bryr seg om det er eksekvere, sekvensiere eller onanere?

De betyr tre helt forskjellige ting, og det var ærlig talt ikke gitt hvilken av dem han mente. Da er meningsintensjon viktig (jeg ville ikke bli tatt i å gjøre sistnevnte med et perlscript f.eks.).

Lenke til kommentar
zyp

zyp

Skrevet
Skrevet (endret)
Og hvem faen bryr seg om det er eksekvere, sekvensiere eller onanere?

De betyr tre helt forskjellige ting, og det var ærlig talt ikke gitt hvilken av dem han mente. Da er meningsintensjon viktig (jeg ville ikke bli tatt i å gjøre sistnevnte med et perlscript f.eks.).

Pass på at du ikke blir tatt når du kjører dette da... :p

#!/bin/bash

LENGTH=6
REPEAT=8
SPEED=20
POWER=10

function draw {
 echo -en "\r8"
 echo -en `for i in \`seq 0 $1\`; do echo -n "="; done`
 echo -en "M"
 echo -en `for i in \`seq 0 \\\`echo $LENGTH - $1 | bc\\\`\`; do echo -n "="; done`
 echo -en "D"
}

for i in `seq 1 $REPEAT`; do
 for j in `seq 0 $LENGTH && seq \`echo $LENGTH - 1 | bc\` -1 1`; do
   draw $j
   sleep `echo 1 / $SPEED | bc -l`
 done
done

echo -n "  "

for i in `seq 1 $POWER`; do
 echo -en "\b ~"
 sleep `echo 2 / $SPEED | bc -l`
done

echo -e "\b &"

 

Edit: For å ikke gjøre posten helt usaklig kan jeg referere til denne tråden:

http://forum.programmer.no/index.php?showtopic=256611

Ved å teste koden det henvises til der kunne jeg ta ned flere boxer med forskjellig kernel, bare med helt allminnelig user tilgang...

Endret av zyp
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...