[linux-support] Security Frage: Shell in /bin/false

Gaudenz Steinlin gaudenz at soziologie.ch
Mon Mar 30 18:20:01 CEST 2009 

Hallo Markus und Rene

On Mon, Mar 30, 2009 at 02:54:35PM +0200, Markus Wernig wrote:
> Hallo Rene
> 
> rene moser wrote:
> 
> > Gibt es _ausschliesslich in Bezug auf das Security Hole_ eine Verbesserung
> > der "Sicherheit" wenn die Standartshell (/etc/passwd) in /bin/false bzw.
> > /sbin/nologin oder dergleichen gesetzt wird?

Es lassen sich sicher Fälle konstruieren, in denen dies eine
Verbesserung bringt. In ener Standardkonfiguration, bei der der Benutzer
www-data gesperrt ist (keines bzw. gesperrtes Passwort) und bei der alle
Remote-Dienste so konfiguriert sind, dass man sich nicht als www-data
einloggen kann, spielt es keine Rolle. Der einzige Fall, der mir gerade
spontan in den Sinn kommt, in dem es einen Gewinn bringt, ist wenn ein
erratbares Passwort gesetzt ist und man trotzdem verhindern will, dass
man sich als www-data einloggen kann.

> 
> Nein, eigentlich nicht. Du legst ja nur fest, welche Shell der User 
> www-data beim Login erhält. Da sich www-data aber nicht einloggt, wird 
> das Setting gar nicht verwendet.
> Das, was die Sicherheit ganz entscheidend verbessert, ist, dem 
> Apache-User die Ausführung der Shell ganz zu untersagen (braucht aber 
> einiges an Konfiguration, damit danach noch alles funzt).

Ich sehe gerade nicht, was das im allgmeinen genau bringen soll. Ist der
Standardfall nicht, dass irgend ein lokales Programm einen Bug hat,
der zu einer privilege escalation führen kann und dann von dort aus
(nachdem die root-Rechte erreicht sind) eine Shell gestartet wird? In
diesem Fall bringt es nichts, die Rechte auf die Shell zu beschränken,
ausser gerade die Shell hat einen Security-Bug. Vielmehr muss das
ausführen jeglicher Binaries durch den Webserver eingeschränkt werden.
Insbesondere muss verhindert werden, dass Binaries hochgeladen werden
können und diese dann durch den Webserver ausgeführt werden. Sonst kann der
Angreifer nämlich sein Angriffsprogramm auch noch selbst
zusammenstellen.


lieber Gruss

Gaudenz

-- 
Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better.
~ Samuel Beckett ~

More information about the Linux-support mailing list