[linux-support] Security Frage: Shell in /bin/false
Markus Wernig
wernigm at lugbe.ch
Mon Mar 30 20:04:51 CEST 2009
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Gaudenz Steinlin wrote:
>> Das, was die Sicherheit ganz entscheidend verbessert, ist, dem
>> Apache-User die Ausführung der Shell ganz zu untersagen (braucht aber
>> einiges an Konfiguration, damit danach noch alles funzt).
>
> Ich sehe gerade nicht, was das im allgmeinen genau bringen soll.
Wir sind ja beim Beispiel Apache.
- - Wenn z.B. ein lokaler Script-Interpreter oder ein von dem ausgeführtes
Script einen Bug hat, und unberechtigterweise versucht, ein lokales
Programm auszuführen, braucht er/es dazu eine Shell (zumindest bei Perl
und PHP). Ist die verboten, geht der Aufruf daneben.
- - Viele Angriffe auf Apache direkt versuchen ihm Shellcode zur
Ausführung zu übergeben.
- - Viele SQL-Attacken versuchen via SQL-Library Kommandos auf der ...
Shell auszuführen.
Und noch zum Thema Chroot: Um via Apache _ohne_ lokale Shell aus der
chroot auszubrechen, schätze ich den Aufwand um ein Vielfaches höher ein
als mit. Chroot allein ist - wie wir ja festgestellt haben - kein
Sicherheitsfeature. Aber in Kombination mit andern Methoden kann es sehr
wirksam sein.
lg /markus
- --
Markus Wernig
Präsident LugBE
GPG: CA558BF7
- ---------------------------------------------
Linux User Group Bern - http://lugbe.ch
- ---------------------------------------------
-----BEGIN PGP SIGNATURE-----
iD8DBQFJ0QnD8BX/d8pVi/cRAuBoAJ9RQnl1/GOItcTGIwuRpSuQUWZbvwCgsy6C
5bGjZJGNnG2M3LR/x/jx9JE=
=T0Ei
-----END PGP SIGNATURE-----
More information about the Linux-support
mailing list