Normale User sollen root nicht sehen falls angemeldet

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Normale User sollen root nicht sehen falls angemeldet

Beitrag von pangu » 14.03.2012 09:49:36

Hey all,

mir ist grad folgendes aufgefallen: wenn auf einem Host der Root per SSH angmeldet ist, und ein 'normaler' User auch, dann können beide den Befehl 'w' nutzen. Der normale User würde quasi sehen, dass root angemeldet ist, und kann auch in der FROM Spalte seine DNS, respektive IP, herauslesen.

Finde ich ehrlich gesagt etwas blöd. Kann man dieses Verhalten ändern oder irgendwie entgegenwirken?
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

nepos
Beiträge: 5238
Registriert: 05.01.2005 10:08:12

Re: Normale User sollen root nicht sehen falls angemeldet

Beitrag von nepos » 14.03.2012 09:52:15

Hoechstens dadurch, dass du keinen direkten SSH-Login als root erlaubst (was sicherheitstechnisch eh die bessere Variante ist). Wenn jemand root werden will, muss er su benutzen oder du konfigurierst dir sudo entsprechend hin. Dann sollte man bei w auch nicht mehr sehen, werd da grade als root unterwegs ist.

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Normale User sollen root nicht sehen falls angemeldet

Beitrag von pangu » 14.03.2012 10:09:46

So habe ich es ja auch: dem root erlaube ich keine SSH-Anmeldung und wenn ich wirklich root brauche, nutze ich "su -" Aber mir ging's jetzt um's Prinzip, ob man da was machen könnte.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

WPSchulz
Beiträge: 264
Registriert: 19.12.2010 17:13:53
Wohnort: Germany/ Dietzenbach
Kontaktdaten:

Re: Normale User sollen root nicht sehen falls angemeldet

Beitrag von WPSchulz » 14.03.2012 11:03:27

Der normale User würde quasi sehen, dass root angemeldet ist, und kann auch in der FROM Spalte seine DNS, respektive IP, herauslesen.
Mir ist nicht ganz klar, wieso es gefährlich ist, daß "User" diese Information sieht?
Gruss Werner * Eigene Rescue-CD
Grml remaster
Knoppix remaster

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Normale User sollen root nicht sehen falls angemeldet

Beitrag von pangu » 14.03.2012 11:20:14

Von 'gefährlich' habe ich nicht geredet, aber wenn du es schon ansprichst, folgendes Beispiel:

User Max.Mustermann ist am HostA mit seinem Benutzernamen 'maxm' lokal am Terminal angemeldet.

Ein Admin ist (jetzt mal in dem Beispiel vorausgesetzt) mit dem Benutzernamen 'root' von zuhause oder sonstwo angemeldet.

Max gibt jetzt 'w' in die Konsole ein, und hat die IP vom root. Stört dich nicht? Dein gutes Recht, aber andere mögen diese Ansicht nicht mit dir teilen . . . es war nur ein Beispiel :D
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Normale User sollen root nicht sehen falls angemeldet

Beitrag von rendegast » 14.03.2012 15:10:28

Der openwall-Patch änderte unter anderem, daß ein Benutzer nur seine eigenen Prozesse sehen konnte,
zBsp. bei 'top'.
http://www.openwall.com/linux/
(2.4.37.9)

Inwieweit das in anderen SE-Implementierungen untergebracht ist?
Also Richtung selinux oder tomoyo u.a. weitersuchen.



--------------------------------------------------------------------------------------
Lustigerweise(?) geht es auf kernel.org immer noch nur bis zum 2.4.31.
(Herumliegen habe ich noch bis 2.4.37.11)
Und auf dem gitweb gibt es nur 3.3.0-rc7 ????
Zuletzt geändert von rendegast am 14.03.2012 15:28:54, insgesamt 1-mal geändert.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
pangu
Beiträge: 1400
Registriert: 15.11.2011 20:50:52
Lizenz eigener Beiträge: GNU General Public License
Wohnort: /proc/1

Re: Normale User sollen root nicht sehen falls angemeldet

Beitrag von pangu » 14.03.2012 15:25:17

:) danke für den Hinweis rende
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.

Antworten