debianforum.de

von **pangu** am 14.03.2012 10:49:36

Hey all,

mir ist grad folgendes aufgefallen: wenn auf einem Host der Root per SSH angmeldet ist, und ein 'normaler' User auch, dann können beide den Befehl 'w' nutzen. Der normale User würde quasi sehen, dass root angemeldet ist, und kann auch in der FROM Spalte seine DNS, respektive IP, herauslesen.

Finde ich ehrlich gesagt etwas blöd. Kann man dieses Verhalten ändern oder irgendwie entgegenwirken?

von **nepos** am 14.03.2012 10:52:15

Hoechstens dadurch, dass du keinen direkten SSH-Login als root erlaubst (was sicherheitstechnisch eh die bessere Variante ist). Wenn jemand root werden will, muss er su benutzen oder du konfigurierst dir sudo entsprechend hin. Dann sollte man bei w auch nicht mehr sehen, werd da grade als root unterwegs ist.

von **pangu** am 14.03.2012 11:09:46

So habe ich es ja auch: dem root erlaube ich keine SSH-Anmeldung und wenn ich wirklich root brauche, nutze ich "su -" Aber mir ging's jetzt um's Prinzip, ob man da was machen könnte.

von **WPSchulz** am 14.03.2012 12:03:27

Der normale User würde quasi sehen, dass root angemeldet ist, und kann auch in der FROM Spalte seine DNS, respektive IP, herauslesen.

Mir ist nicht ganz klar, wieso es gefährlich ist, daß "User" diese Information sieht?

von **pangu** am 14.03.2012 12:20:14

Von 'gefährlich' habe ich nicht geredet, aber wenn du es schon ansprichst, folgendes Beispiel:

User Max.Mustermann ist am HostA mit seinem Benutzernamen 'maxm' lokal am Terminal angemeldet.

Ein Admin ist (jetzt mal in dem Beispiel vorausgesetzt) mit dem Benutzernamen 'root' von zuhause oder sonstwo angemeldet.

Max gibt jetzt 'w' in die Konsole ein, und hat die IP vom root. Stört dich nicht? Dein gutes Recht, aber andere mögen diese Ansicht nicht mit dir teilen . . . es war nur ein Beispiel

von **rendegast** am 14.03.2012 16:10:28

Der openwall-Patch änderte unter anderem, daß ein Benutzer nur seine eigenen Prozesse sehen konnte,
zBsp. bei 'top'.
http://www.openwall.com/linux/
(2.4.37.9)

Inwieweit das in anderen SE-Implementierungen untergebracht ist?
Also Richtung selinux oder tomoyo u.a. weitersuchen.

--------------------------------------------------------------------------------------
Lustigerweise(?) geht es auf kernel.org immer noch nur bis zum 2.4.31.
(Herumliegen habe ich noch bis 2.4.37.11)
Und auf dem gitweb gibt es nur 3.3.0-rc7 ????

von **pangu** am 14.03.2012 16:25:17

danke für den Hinweis rende

debianforum.de

Normale User sollen root nicht sehen falls angemeldet

Normale User sollen root nicht sehen falls angemeldet

Re: Normale User sollen root nicht sehen falls angemeldet

Re: Normale User sollen root nicht sehen falls angemeldet

Re: Normale User sollen root nicht sehen falls angemeldet

Re: Normale User sollen root nicht sehen falls angemeldet

Re: Normale User sollen root nicht sehen falls angemeldet

Re: Normale User sollen root nicht sehen falls angemeldet

Wer ist online?