Hey all,
mir ist grad folgendes aufgefallen: wenn auf einem Host der Root per SSH angmeldet ist, und ein 'normaler' User auch, dann können beide den Befehl 'w' nutzen. Der normale User würde quasi sehen, dass root angemeldet ist, und kann auch in der FROM Spalte seine DNS, respektive IP, herauslesen.
Finde ich ehrlich gesagt etwas blöd. Kann man dieses Verhalten ändern oder irgendwie entgegenwirken?
Normale User sollen root nicht sehen falls angemeldet
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Normale User sollen root nicht sehen falls angemeldet
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: Normale User sollen root nicht sehen falls angemeldet
Hoechstens dadurch, dass du keinen direkten SSH-Login als root erlaubst (was sicherheitstechnisch eh die bessere Variante ist). Wenn jemand root werden will, muss er su benutzen oder du konfigurierst dir sudo entsprechend hin. Dann sollte man bei w auch nicht mehr sehen, werd da grade als root unterwegs ist.
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: Normale User sollen root nicht sehen falls angemeldet
So habe ich es ja auch: dem root erlaube ich keine SSH-Anmeldung und wenn ich wirklich root brauche, nutze ich "su -" Aber mir ging's jetzt um's Prinzip, ob man da was machen könnte.
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: Normale User sollen root nicht sehen falls angemeldet
Mir ist nicht ganz klar, wieso es gefährlich ist, daß "User" diese Information sieht?Der normale User würde quasi sehen, dass root angemeldet ist, und kann auch in der FROM Spalte seine DNS, respektive IP, herauslesen.
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: Normale User sollen root nicht sehen falls angemeldet
Von 'gefährlich' habe ich nicht geredet, aber wenn du es schon ansprichst, folgendes Beispiel:
User Max.Mustermann ist am HostA mit seinem Benutzernamen 'maxm' lokal am Terminal angemeldet.
Ein Admin ist (jetzt mal in dem Beispiel vorausgesetzt) mit dem Benutzernamen 'root' von zuhause oder sonstwo angemeldet.
Max gibt jetzt 'w' in die Konsole ein, und hat die IP vom root. Stört dich nicht? Dein gutes Recht, aber andere mögen diese Ansicht nicht mit dir teilen . . . es war nur ein Beispiel
User Max.Mustermann ist am HostA mit seinem Benutzernamen 'maxm' lokal am Terminal angemeldet.
Ein Admin ist (jetzt mal in dem Beispiel vorausgesetzt) mit dem Benutzernamen 'root' von zuhause oder sonstwo angemeldet.
Max gibt jetzt 'w' in die Konsole ein, und hat die IP vom root. Stört dich nicht? Dein gutes Recht, aber andere mögen diese Ansicht nicht mit dir teilen . . . es war nur ein Beispiel
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.
Re: Normale User sollen root nicht sehen falls angemeldet
Der openwall-Patch änderte unter anderem, daß ein Benutzer nur seine eigenen Prozesse sehen konnte,
zBsp. bei 'top'.
http://www.openwall.com/linux/
(2.4.37.9)
Inwieweit das in anderen SE-Implementierungen untergebracht ist?
Also Richtung selinux oder tomoyo u.a. weitersuchen.
--------------------------------------------------------------------------------------
Lustigerweise(?) geht es auf kernel.org immer noch nur bis zum 2.4.31.
(Herumliegen habe ich noch bis 2.4.37.11)
Und auf dem gitweb gibt es nur 3.3.0-rc7 ????
zBsp. bei 'top'.
http://www.openwall.com/linux/
(2.4.37.9)
Inwieweit das in anderen SE-Implementierungen untergebracht ist?
Also Richtung selinux oder tomoyo u.a. weitersuchen.
--------------------------------------------------------------------------------------
Lustigerweise(?) geht es auf kernel.org immer noch nur bis zum 2.4.31.
(Herumliegen habe ich noch bis 2.4.37.11)
Und auf dem gitweb gibt es nur 3.3.0-rc7 ????
Zuletzt geändert von rendegast am 14.03.2012 15:28:54, insgesamt 1-mal geändert.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
- pangu
- Beiträge: 1400
- Registriert: 15.11.2011 20:50:52
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: /proc/1
Re: Normale User sollen root nicht sehen falls angemeldet
danke für den Hinweis rende
Man gibt Geld aus, das man nicht hat, um damit Dinge zu kaufen, die man nicht braucht, um damit Leute zu beeindrucken, die man nicht mag.