SFTP mit root rechten?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Benutzeravatar
niemand
Beiträge: 13047
Registriert: 18.07.2004 16:43:29

Re: SFTP mit root rechten?

Beitrag von niemand » 07.08.2019 11:52:06

Wenn ein ausnutzbarer Fehler in einem der exponierten Teile des Systems vorliegt, muss der Angreifer es eben nicht mit Sachverstand und direkt auf dich/dein Umfeld zugeschnitten agieren, sondern das Modul in sein Framework einbinden und das Script machen lassen. Konfigurationsfehler/Fehlkonfigurationen sind ja nun wahrlich nicht das einzige Einfallstor (zugegebenermaßen jedoch das, auf welches man selbst noch am meisten Einfluss hat).

Edit zu deinem Edit: deine Firewall nutzt dir überhaupt nix, wenn das Angreiferscript z.B. über manipulierte Mediendateien eine Schwachstelle in einer dazugehörigen Lib nutzt, um zunächst mal Userrechte zu erlangen, und von da aus allerhand andere Sachen durchprobiert.
ENOKEKS

TomL
Beiträge: 4355
Registriert: 24.07.2014 10:56:59

Re: SFTP mit root rechten?

Beitrag von TomL » 07.08.2019 12:03:11

Ja, richtig, ich leugne das ja auch gar nicht. Ich sage nur, für uns liegt da der Unterschied zwischen Theorie und Praxis. Mit Zugriff von außen ist auf unseren Linux-Systemen definitiv nix zu machen, auf den mit Server-Funkionen laufenden Installationen schon mal gar nicht, das geht -wenn überhaupt- alles nur mit direktem Zugriff über Tastatur und Bildschirm. Und ja, wenn das jemand direkt an der Tastatur tut, kann er erfolgreich sein. Aber wenn das jemand über phsyischen Zugriff auf unsere Hardware tut, zielgerichtet gegen meine Familie, dann habe ich vermutlich größere und bisher unerkannte Probleme, als nur ein gehacktes Password. Bei von außen hackenden Bots und Scripte bin ich jedenfalls völlig entspannt, eben weil die lokal nix unerlaubtes ans Laufen bringen können... und der lokale Anwender kanns (mangels Wissen) auch nicht.
Edit zu deinem Edit: deine Firewall nutzt dir überhaupt nix, wenn das Angreiferscript z.B. über manipulierte Mediendateien eine Schwachstelle in einer dazugehörigen Lib nutzt, um zunächst mal Userrechte zu erlangen, und von da aus allerhand andere Sachen durchprobiert.
Ja, wenn das passieren könnte, dann hätte man den Schaden.... was ich aber hier wegen meiner Maßnahmen für ausgeschlossen halte. Wo soll dieses Angreiferscript herkommen? Wie kommt es auf den Rechner? Wer führt es aus? Dem Anwender fehlende die Rechte zum Starten eines solchen Scriptes. Ohne weitergehende Sachkenntnis kann er den remount auch nicht umgehen. Und keiner von denen kennt das Wort "bash" :mrgreen:
vg, Thomas

Benutzeravatar
niemand
Beiträge: 13047
Registriert: 18.07.2004 16:43:29

Re: SFTP mit root rechten?

Beitrag von niemand » 07.08.2019 12:24:10

TomL hat geschrieben: ↑ zum Beitrag ↑
07.08.2019 12:03:11
Wo soll dieses Angreiferscript herkommen? Wie kommt es auf den Rechner? Wer führt es aus? Dem Anwender fehlende die Rechte zum Starten eines solchen Scriptes. Ohne weitergehende Sachkenntnis kann er den remount auch nicht umgehen. Und keiner von denen kennt das Wort "bash"
a) aus dem Internetz
b) jemand lädt eine manipulierte Mediendatei (Bild, Video, Audio)
c) der Kernel, nachdem die Lib diesem den Code als ihren, und damit legitim ausführbaren Code präsentiert

Remount ist unerheblich, noexec wirkungslos (der Player/Viewer oder auch Browser läuft ja), ’ne Shell braucht’s dafür auch nicht.

Das Beispiel, was mir gerade einfällt: suche mal nach „Stagefright“ – betraf zwar Android, ist aber im Grunde das gleiche Prinzip. Vor Kurzem gab’s genau so eine Konstellation auch für VLC in Verbindung mit bestimmten Versionen einer externen Lib.
ENOKEKS

uname
Beiträge: 10011
Registriert: 03.06.2008 09:33:02

Re: SFTP mit root rechten?

Beitrag von uname » 07.08.2019 12:32:30

Das root-Pwd selber auf dem Server ist eines, da bin ich mir absolut sicher, was nicht mit nem Wörterbuch zu knacken ist, nicht mal mit Phantasie.
Niemand errät komplexe Passwörter oder probiert sie auch. Wenn dein Zugriff per SSH-Key mit Passphrase und noch Passwort für root bei su gehackt wird, dann weil ein Client-Rechner mit Malware vereucht ist, der Key entführt und die beiden Passwörter mitgelesen werden. Besser wäre hier OTP gewesen ;-) Auch kann man natürlich den verwendeten SSH-Key in authorized_keys auf spezielle Rechner bzw. IP-Ranges einschränken, sofern der Zugriff aus dem Internet erfolgt.

TomL
Beiträge: 4355
Registriert: 24.07.2014 10:56:59

Re: SFTP mit root rechten?

Beitrag von TomL » 07.08.2019 16:40:23

niemand hat geschrieben: ↑ zum Beitrag ↑
07.08.2019 12:24:10
a) aus dem Internetz
b) jemand lädt eine manipulierte Mediendatei (Bild, Video, Audio)
c) der Kernel, nachdem die Lib diesem den Code als ihren, und damit legitim ausführbaren Code präsentiert
Oh mann... :oops: ... das ist doch jetzt ein Szenario, gegen das man sich ja eigentlich gar nicht mehr wehren kann... was mich auch so richtig wütend macht. Das ganze Pwd- und Keyfile-Heckmeck soll doch eigentlich verhindern, das fremde Leute auf unseren Rechnern ihre Programme ausführen können... aber genau das passiert doch dabei... im übertragenen Sinne führen wir den Schadcode sogar selber aus. Um aber wieder aufs Thema zurückzukommen, wenn das passiert ist, ist die Frage nach Keyfile oder Passwort für den SSH-Zugang sowieso irrelevant, weil dann der Einbrecher schon im Haus ist. Und hat er einmal die Kontrolle über das System, braucht er diese Zugangsdaten gar nicht mehr, sondern generiert sich eigene und ist dann nicht mehr Gast, sondern Herr im digitalen Haus.

Meine Anstrengen konzentrieren sich also darauf, den Anwendern keine Rechte zu geben, mit denen sie das System an sich verändern können, und nach Möglichkeit zu verhindern, dass fremde Programme ausgeführt werden können. Wenn allerdings wirklich Schadcode über Youtube oder eine beliebige andere Streaming-Plattform hereinkommen kann, sehe ich mich außerstande, das zu verhindern. Ich weiss auch gar nicht, ob es überhaupt ein Mittel dagegen gibt.
uname hat geschrieben: ↑ zum Beitrag ↑
07.08.2019 12:32:30
....dann weil ein Client-Rechner mit Malware vereucht ist, der Key entführt und die beiden Passwörter mitgelesen werden.
Ja, kein Widerspruch.... aber wieder die Frage im Zusammenhang mit dem zuvor von mir beschriebenen.... wie kommt diese Schadsoftware auf den Rechner drauf und wer hat sie gestartet? Die Anwender könnens und dürfens nicht, sondern müssten das über den Umweg eines Bash-Execute's tun, was sie aber gar nicht wissen. Ich gehe zur Zeit immer davon aus, dass alle unsere Rechner selbstverständlich die obligatorischen Exploits haben, deswegen gilt auf allen Systemen auch die Devise "nur benötigte Software und Services, keine kompletten Desktop-Environments als rund-um-für-alles-wohlfühl-lösungen", aber das sie jetzt im Moment frei von Malware sind.

Deswegen verzichte ich nach Möglichkeit auch auf den Komfort eigentlich unnötiger grafischer Dialoge zum Einstellen von laufenden Services und Programmen und tue alles notwendige im Terminal. Umso größer die Menge ist, auf die ich verzichte kann, umso kleiner wird die installierte Software-Basis, umso sicherer wird es. Und da behaupte ich, die Infektion geht entweder über physischen Zugriff, vermutlich mit einem Livesystem vom Stick, oder über solche Horror-Szenarios wie sie niemand gerade beschrieben hat.... aber genau gegen diese beiden Angriffe bin ich vermutlich sowieso machtlos.

Wie sieht denn für so ein Dilemma überhaupt eine Lösung aus? Und wie verhält sich der Aufwand und die Wirksamkeit für die Lösung zum Grad der tatsächlichen Bedrohung? Wobei die Relevanz der Bedrohung aber eher nicht dem Wahrscheinlichkeits-Verhältnis eines 6ers im 49'er-Lotto entsprechen sollte.
vg, Thomas

Antworten