gcc & wget?

[dodolin]

Ich hab zufällig gelesen, dass mehrere Progs den wget nutzen (u.a. auch yast und fou4s). Funktionieren die evtl nicht mehr, wenn ich wget "verschiebe" und das originalfile ersetze durch mein kleines script?

Vermutlich. Ja.

[gangsta]

Hmm.. ok, meine Frage war ein wenig zu unpräzise, ich versuchs nochmal:

Wenn ich das wget-Script 2 mal habe, nämlich einmal das richtige File unter /root/bin/wget und einmal mein kleines Script unter /usr/bin/wget .

Welches von den beiden werden drittprogramme wie yast, fou4s usw nutzen, wenn ich sie als root starte? Ich möchte ja nicht, dass ich als root das Script ausführe, sondern das richtige wget aus /root/bin/ .

Oder kann ich durch die Reihenfolge der $PATH abgeben, in welchem Verzeichnis er die executable zuerst suchen soll? Denn /usr/bin/ aus der PATH-Variable von root rausnehmen kann ich ja auch nicht.

[captaincrunch]

Welches von den beiden werden drittprogramme wie yast, fou4s usw nutzen, wenn ich sie als root starte?

Steht in den Sourcen, und lässt sich ziemlich einfach überpfrüfen. Mit an Sicherheit grenzender Wahrscheinlickeit aber das (vermeintliche) Binary unter /usr/FOO/BAR

[gangsta]

Ja, nein. Das Problem ist, dass zB fou4s einfach nur
wget parameter1 parameter2..
aufruft.

Also in den Paths des users danach sucht. Meine Frage war jetzt, ob die bash nun die PATH-Variablen der Reihe nach durchgeht, oder zuerst in /usr/bin sucht und danach in den PATH-Variablen.

Ich gehe aber mal von ersterem aus (ein kleiner Test hats gerade gezeigt, dass er zuerst das wget aus /root/bin/ nimmt.... Das ganze bringt mir natürlich nichts, wenn ein programm hardcoded /usr/bin/wget nutzt....

Anyway, es wäre super falls jemand von euch schon ein "ErsatzScript" fertig hätte..

Meine grobe Vorstellung:
- email an root
- apache stoppen (nicht ganz einfach, da nicht jeder den apachen stoppen kann)
- logout (hoffentlich geht das, wenn jemand über einen exploit und anschliessender reverseshell reingekommen ist)

[dodolin]

Ja, nein. Das Problem ist, dass zB fou4s einfach nur
wget parameter1 parameter2..
aufruft.

Sicher? Hast du es nachgeprüft?
Ein guter Scriptprogrammierer sollte mit absoluten Pfaden arbeiten.

[gangsta]

ja, ich habe es bei fou4s nachgeprüft anhand des Sourcecodes.

[andreask2]

noch eine Idee zum Thema <input type="file">
sowas erzeugt doch einen HTTP-Put-Request, oder?

nein, es erzeugt einen HTTP-POST Request.

Siehe: http://de3.php.net/manual/de/features.file-upload.php

Da ich keine Seite habe, die sowas erwartet kann man den doch in den ApacheConfigs einfach disablen (hab da mal sowas gesehen)

Jo.


Grüße
Andreas

[oxygen]

Ja, nein. Das Problem ist, dass zB fou4s einfach nur
wget parameter1 parameter2..
aufruft.

Sicher? Hast du es nachgeprüft?
Ein guter Scriptprogrammierer sollte mit absoluten Pfaden arbeiten.

Und wenn er den Pfad der Binarys nicht kennt? ein`which wget` am Anfang des Script ist das schon praktischer und würde in diesem Fall auch funktionieren, so lange /root/bin vor /usr/bin im PATH steht.

[elfrico]

Speichere doch einfach das Skript auf einem anderen Server.

Wenn du es benötigst, NFS-mounte dieses Verzeichnis und setze PATH. Anschliessend unmounten und das Skript ist wieder weg.

[andreask2]

Inwiefern unterscheidet sich das dann sicherheitstechnisch davon auschließlich root Zugriffsrechte auf die Datei einzuräumen?

Was würdet Ihr von ACL für diesen Zweck halten?

Grüße
Andreas

[captaincrunch]

Wenn du es benötigst, NFS-mounte dieses Verzeichnis und setze PATH. Anschliessend unmounten und das Skript ist wieder weg.

Du möchtest also wirklich NFS in einem öffentlich zugänglichen Netz nutzen? Na dann mal gute Nacht, Ellie...

[dea]

Unsere "Profis" ... :roll:

Mal ganz abgesehen davon, dass ich beim besten (auch nicht beim allerbesten!) Willen erkennen kann, warum eine Compiler-Suite sowie diverse Interpreter auf einen Server gehören sollen:

Die einzig ansatzweise (!) vernünftige "Lösung" außer der Deinstallation des gcc und Kosorten dürfte in RSBAC liegen. Aber bitte vorher mit der Thematik befassen!

[andreask2]

Wie wäre es als "quick & dirty" Lösung mit einem shell-script unter /root/bin, auf das nur root Zugriffsrechte hat, welches den Server in "maintainance-modus" setzen kann und wieder zurück?

NMatürlich würde ich erstmal alle einige Tools runterschmeißen, die man eh nicht braucht. Ich weiß es nicht genau, aber in der Standard-Gentoo Installation sind z.B. mehrere Tools enthalten mit denen man Dateien runterladen kann, braucht man sicher nicht alle.

Jedenfalls könnte das script z.B. mit dem Parameter "start" aufgerufen werden, und dann z.B. anderen Programmen Zugriffsrechte auf wget einräumen, wie das im Detail aussehen muss hab ich mir allerdings noch nicht angesehen.

Wenn man dann also Updates einspielt versetzt man das System in den Wartungs-Modus, evtl. sogar ein anders Runlevel aufrufen, so dass nur ein User eingeloggt sein kann (Netzwerk braucht man bei einem root-server ja).

Für Gentoo könnte/müsste man sich hierfür ein eigenes Runlevel basteln.

Vielleicht müsste man das auch noch abstufen, denn gerade bei gentoo kann so ein update schonmal ein bisschen dauern, und möglicherweise will man den aktuellen Betrieb nicht stören.

Vielleicht ein Maintainance-Level "geplant" und eins "dringend".

Das könte man dann alles entsprechend über so ein bash-script starten und beenden.


Was meint Ihr dazu? Oder wie macht Ihr das heute in der Praxis? Oder ist das unnötiger Schnickschnack?


Grüße
Andreas

[elfrico]

CaptainCrunch,

Wenn du es benötigst, NFS-mounte dieses Verzeichnis und setze PATH. Anschliessend unmounten und das Skript ist wieder weg.

Du möchtest also wirklich NFS in einem öffentlich zugänglichen Netz nutzen? Na dann mal gute Nacht, Ellie...

guck mal da: http://www.math.ualberta.ca/imaging/snfs/

Im Maintenance Mode das Verzeichnis mit den wichtigen bin's einfach mounten. Ansonsten sind die Progs auf dem Server nicht verfügbar!

Wo liegt das Problem?

[captaincrunch]

Wo liegt das Problem?

1. Hast du mit keinem Wort erwähnt, dass du NFS per ssh/sonstwie tunneln willst.
2. Ist es nicht komplett trivial, NFS (als RPC-Protokoll) per ssh zu tunneln, Howto hin oder her.
3. Ist der gesamte Vorschlag sinnfrei, da Security by obscurity.

Sorry, aber deine und meine Vorstellung von "Sicherheit" scheinen sich massiv zu unterscheiden, aber vermutlich bin ich hier per Definition wieder derjenige, der ohnehin zu doof ist, ein "vernünftiges" Sicherheitskonzept zu definieren und durchzuführen...

[dea]

Wo liegt das Problem?

[snip
vermutlich bin ich hier per Definition wieder derjenige, der ohnehin zu doof ist, ein "vernünftiges" Sicherheitskonzept zu definieren und durchzuführen...

Doof sein r0xx0r5 8) /me 2 immer doof :lol: