@BugMeNot:
Vielleicht mal als Grundsaetze:
1) Du willst, dass die Programme/Scripte auf deinem System mit den minimal noetigen Rechten ausgefuehrt werden.
2) Du willst, dass die Programme/Scripte auf deinem System mit den minimal noetigen Rechten geaendert werden koennen.
Wenn dein Script Dateien aendern/loeschen muss, die (nur) www-data aendern darf, dann wird es kaum umhin kommen auch als www-data zu laufen. (Das hast du fuer Cron ja schon umgesetzt.)
Die Scriptdateien selbst muessen nun auch noch so eingeschraenkte Rechte und Besitzer haben, dass nicht ein beliebiger User des Systems dort einfach boese Befehle reinschreibt, die dann von Cron als User www-data ausgefuehrt werden. (Poste dazu mal die derzeitigen Rechte der Scripte.)
Und nicht zuletzt musst du sicherstellen oder darauf vertrauen, dass die Autoren der Scripte dort nichts Boeses reingeschrieben haben. (Falls das Scripte eine Selbstupdatefunktion hat, dann vertraust du damit auch automatisch allen zukuenftigen Versionen, ... oder du sorgst dafuer, das das Script sich nicht selbst aendern kann, indem der ausfuehrende User (www-data) keine Schreibrechte auf die Scriptdatei und das umgebende Verzeichnis hat.)
Was generell Angriffsmoeglichkeiten angeht, so musst du unterscheiden was ein erfolgreicher Angreifer mit dem geknackten Account machen kann -- falls das externe Script also Schadcode enthaelt, dann kann dieser alles machen was der ausfuehrende User www-data auch machen kann --, und zum anderen, ob es Moeglichkeiten gibt die Rechte zu erweitern -- falls beispielsweise ein beliebiger User ein Script aendern kann, das unter einem hoeher priviligiertem User laeuft.
In diesem Themengebiet gibt es keine einfachen Antworten. Es handelt sich immer umkomplexe Sachverhalte, die man analysieren muss. Du merkst ja selber, dass die Antworten, die du bekommst nicht glar, einfach und abschliessend sind, sondern nur Betrachtungsweisen, Aspekte und Bausteine eines groesseren Gebildes, das letztlich nur du ueberblicken kannst, weil wir gar nicht genug Informationen haben um dies zu tun. Wir koennen nur dir dabei helfen es selber zu tun ... oder du muesstest jemand Vertrauenswuerdiges fuer ein (teures) Security-Audit engagieren.
cronjob hilfe
Re: cronjob hilfe
Use ed once in a while!
-
BugMeNot
Re: cronjob hilfe
danke für die erklärungen.
bin heute den code durchgegangen und konnte nichts finden, was auf ein automatisches update hindeutet, somit sollte das File nicht mehr geändert werden.
debian läuft isoliert in einer VM, in einer DMZ, hinter einem reverse proxy. Security updates werden automtisch, täglich geprüft und ggf. geladen und installiert.
Meiner Meinung nach verbleibt ein recht kleines restrisiko.
ich denke, ich werde es dabei belassen.
bin heute den code durchgegangen und konnte nichts finden, was auf ein automatisches update hindeutet, somit sollte das File nicht mehr geändert werden.
debian läuft isoliert in einer VM, in einer DMZ, hinter einem reverse proxy. Security updates werden automtisch, täglich geprüft und ggf. geladen und installiert.
Meiner Meinung nach verbleibt ein recht kleines restrisiko.
ich denke, ich werde es dabei belassen.