Ihr redet alle von Sicherheit

Lesenswerte Artikel, Anleitungen und Diskussionen
papnase
Posts: 29
Joined: 2003-03-16 05:40
Location: berlin

Ihr redet alle von Sicherheit

Post by papnase » 2003-04-22 05:41

Hi, ihr redet alle von Sicherheit und iptables, ich denke die Sicherheit fängt schon am kernel an. :)

Diese Standard kernel sind keineswegs sicher, daher sollte jeder der ein Sicheres System haben will, beim patchen des kernel anfangen :)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ihr redet alle von Sicherheit

Post by captaincrunch » 2003-04-22 05:46

Diese Standard kernel sind keineswegs sicher, daher sollte jeder der ein Sicheres System haben will, beim patchen des kernel anfangen
Eine gewagte Behauptung ... Beispiele ? Beweise ? Genaue Gegenmaßnahmen ?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Ihr redet alle von Sicherheit

Post by dea » 2003-04-22 08:35

CaptainCrunch wrote:Eine gewagte Behauptung ... Beispiele ? Beweise ? Genaue Gegenmaßnahmen ?
Gewagt ist diese Behauptung sicherlich nicht und als Beweis sollte Dir eigentlich die Existenz von LKM Rootkits wie SuckIT genügen.
Was papnase allerdings unter "patchen des Kernels" versteht würde mich allerdings schon interessieren.

Ansonsten hat er natürlich recht. Wenn ich immer nur um einen unsicheren Kern herum absichere werde ich per se nie ein auch nur annähernd sicheres Gesamtsystem erhalten.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ihr redet alle von Sicherheit

Post by captaincrunch » 2003-04-22 08:40

Gewagt ist diese Behauptung sicherlich nicht und als Beweis sollte Dir eigentlich die Existenz von LKM Rootkits wie SuckIT genügen.
Ist mir vollend bewusst. Das ganze hier aber "mal eben" in einem Nebensatz zu erwähnen, halte ich allerdings für nicht ganz glücklich ... :wink:
Ansonsten hat er natürlich recht. Wenn ich immer nur um einen unsicheren Kern herum absichere werde ich per se nie ein auch nur annähernd sicheres Gesamtsystem erhalten.
OK, nur ist die Anzahl der remote ausnutzbaren Lücken im Kernel verschwindend gering. Von daher ist es ein ziemlich guter Anfang, sein Konzept erstmal mit dem "drumherum" anzufangen.

Btw. : Wer ein ziemlich sicheres Grundsystem sucht, wird bei http://trusteddebian.org ganz schnell fündig. Mittlerweile ist das ganze auf eine stabile 1er-Version hochgekommen, und schützt von von vornherein gegen Buffer Overflows u.ä. ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

papnase
Posts: 29
Joined: 2003-03-16 05:40
Location: berlin

kernel

Post by papnase » 2003-04-22 13:54

So, naja zB gibt es ganz viele local exploits like ptrace.
Damit ist mehr als einfach root rechte zuerlangen wenn der kernel nicht geptacht ist. ich kann eine site http://www.grsecurity.net empfehlen.

Meine Systeme sind hoffentlich Sicher hehe, ich hab selber mal getestet und nix ging bei mir :)

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Ihr redet alle von Sicherheit

Post by oxygen » 2003-04-22 14:02

Nunja. Auf einen Webserver sollte aber wohl niemand außer der admin lokalen Zugriff haben. Wenns hochkommt mal ein paar Leutz ftp oder pop3/imap.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ihr redet alle von Sicherheit

Post by captaincrunch » 2003-04-22 14:06

Nunja. Auf einen Webserver sollte aber wohl niemand außer der admin lokalen Zugriff haben. Wenns hochkommt mal ein paar Leutz ftp oder pop3/imap.
Ebend ... und wer dann doch unbedingt Shell-User haben will, muss halt zusehen, wie er die Kiste sicher bekommt. GRSecurity ist ein guter Anfang ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

papnase
Posts: 29
Joined: 2003-03-16 05:40
Location: berlin

Re: Ihr redet alle von Sicherheit

Post by papnase » 2003-04-22 14:14

øxygen wrote:Nunja. Auf einen Webserver sollte aber wohl niemand außer der admin lokalen Zugriff haben. Wenns hochkommt mal ein paar Leutz ftp oder pop3/imap.
nun wer als kleiner Webspace Provider arbeitet, sollte nun mal pop3 anbieten, aber da ist em besten wenn man dort QMail nutzt ich finds recht sicher. also sicherer als Sendmail oder Exim.

Shell user naja. wenn man shell user haben will, sollte man mit LIDS tz chroot umgebung arbeiten :)

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ihr redet alle von Sicherheit

Post by dodolin » 2003-04-22 14:37

nun wer als kleiner Webspace Provider arbeitet, sollte nun mal pop3 anbieten, aber da ist em besten wenn man dort QMail nutzt ich finds recht sicher. also sicherer als Sendmail oder Exim.
Sorry, aber weder sendmail noch Exim haben etwas mit POP3 zu tun. Das sind MTAs. Bei Qmail gibt es ja AFAIK diesen vpopmail, aber das kenne ich nicht näher. Von daher ist diese Aussage jedenfalls Quark.

Meine ganz persönliche Meinung ist, dass man überhaupt keine Klartextprotokolle wie POP3 mehr einsetzen sollte, sondern höchstens POP3S oder IMAPS mit SSL/TLS. Aber ok, wenn man DAU-Kunden haben möchte (die auch wenig Wert auf Sicherheit legen...), kommt man wohl nicht drum herum...
Shell user naja. wenn man shell user haben will, sollte man mit LIDS tz chroot umgebung arbeiten
Wenn ich Shell-User in ein chroot einsperre, dann brauche ich ihnen auch keine Shell mehr geben, weil sie damit eh kaum was anfangen können. IMHO total unsinnig.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ihr redet alle von Sicherheit

Post by captaincrunch » 2003-04-22 14:41

Danke ... und ich dachte schon, dass es nur mir so geht, dass der OP ein paar "Buzzwords" einwirft, und sich über manche Dinge noch nicht ganz im klaren zu sein scheint ... :wink:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

papnase
Posts: 29
Joined: 2003-03-16 05:40
Location: berlin

Re: Ihr redet alle von Sicherheit

Post by papnase » 2003-04-22 14:46

Shell user naja. wenn man shell user haben will, sollte man mit LIDS tz chroot umgebung arbeiten
Wenn ich Shell-User in ein chroot einsperre, dann brauche ich ihnen auch keine Shell mehr geben, weil sie damit eh kaum was anfangen können. IMHO total unsinnig.[/quote]


Noe wieso? wenn ich user haben die zB nen Perl cronjob machen möchen ist LIDS mit chroot das beste was ich bis jetzt gesehen haben.

Aber es gibt sicherlich noch andere wege, aber dieser ist mir bekannt, und hatte noch nie sclecht erfahrungen damit

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Ihr redet alle von Sicherheit

Post by dea » 2003-04-22 15:12

Hmmm - Ihr geht fast alle davon aus (und vertretet das auch vehement), dass lokale User auf einem rootie (oder ähnlich konzipierten Server) nichts zu suchen hätten, ergo lokale exploits auszuschließen wären.

Ist das nicht ein wenig sehr naiv?

:arrow: Prämisse: "Sicherheit" in diesem Kontext bezeichnet ausschließlich den Schutz von Informationen (Daten und Binaries) vor unbefugten Zugang.

Mit der Berücksichtigung lokaler Angriffsmöglichkeiten und den resultierenden Maßnahmen erschwere ich doch ggf. einem Eindringling der durch einen remote exploit Zugang zu Informationen (im o.g. Sinne) erhielt das weitere Vordringen - im Idealfall verhindere ich es sogar.

:arrow: Szenario: Durch einen remote exploit gelangt ein Angreifer in den Besitz eines Shell-Accounts (es ist in diesem Zusammenhang vollkommen unerheblich, um welchen Exploit und um welchen spezifischen Shell-Account es sich handelt!).
Durch geeignete Maßnahmen wurde jedoch das System dahingehend konfiguriert, dass selbst Routinearbeiten (Produktion, Administration, was auch immer) einer Identifikation bedürfen die wiederum unabhängig von systemspezifischen Methoden (z.B. Benutzerverwaltung per pam, /etc/passwd usw.) über Drittmethoden erfolgt.
Resultierend geriete ein Angreifer in den Besitz eines eingeschränkten Benutzerkontos das ohne weitergehende Autorisierung und Authentisierung nicht über hinreichende Berechtigungen für Zugang und Manipulation von Informationen verfügte. "Er" wäre also nicht unmittlebar in der Lage Manipulationen vorzunehmen, müsste vielmehr über weitergehende Kenntnisse sowohl des Systems und der eingesetzten Software als auch über "passende" Schwachstellen verfügen, um "seinem" Ziel, der Manipulation von Informationen, näher zu kommen.

Zugegeben, das Szenario schildert (mehr oder weniger) einen Idealfall und zielt auch sehr speziell auf die Behandlung von Accounts und die Strukturierung der Arbeit ab, aber die (himmelschreiende) selbstgefällige Naivität der Annahme, durch Vermeidung lokaler Accounts einen Beitrag zur "Sicherheit" eines Systems leisten zu können wird dabei vielleicht deutlich.
Mir ist sehr wohl bewusst, dass sich durch ein derartiges System Angriffe, auch erfolgreiche, nicht verhindern oder vermeiden lassen, es fügt lediglich (eine) weitere Barriere(n) hinzu. Zudem stellen derartige Maßnahmen sicherlich nicht das non plus ultra dar sondern vielmehr einen Teil ener umfassenden Gesamtkonzeption (wer allerdings bereist versuchen durfte, eine solche Gesamtkonzeption auch nur zu erstellen oder gar umzusetzen wird von den damit verbundenen Schwierigkeiten und Widerständen berichten können ...)

Außerdem existiert in vielen Umgebungen schlichtweg die zwingende Notwendigkeit lokaler Accounts und deren Nutzung...

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Ihr redet alle von Sicherheit

Post by oxygen » 2003-04-22 15:22

Im Grunde hast du recht dea. Aber wenn ich es schon ziemlich schwierig gestalte remote exploits auszunutzen, verlieren potenzielle Angreifer schnell die Lust am Ziel. Ich erachte meine Daten nicht als so wichtig, das sich ein richtiger(tm) Hacker meine Server vornehmen würde. Denn die meisten sind doch nur Scriptkiddies auf der Suche nach Shells um ihre Warez und Filme per FTP oder IRC unters Volk zu bringen. Dafür würde eine nicht priviligierte Shell schon reichen. Macht mal halt den FTP mit port >1024 auf. Das ist meiner Meinung nach die Hauptgefahr für Unser eins, aber lässt sich ja recht einfach mit aktuellen Fixes umgehen. Usern die lokal Zugriff haben, sollte man sowieso vertauen, denn irgendwas lässt sich immer veranstalten.
Unser "Feindbild" unterscheidet sich wohl, deswegen auch die anders gelagerte Strategie.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Ihr redet alle von Sicherheit

Post by captaincrunch » 2003-04-22 15:24

Hmmm - Ihr geht fast alle davon aus (und vertretet das auch vehement), dass lokale User auf einem rootie (oder ähnlich konzipierten Server) nichts zu suchen hätten, ergo lokale exploits auszuschließen wären.
In dem Fall kommt's wohl ziemlich auf die kleine aber feine Einschränkung "oder ähnlich konzipierten Server" an. Wozu benötigst du lokale User auf einem Rootie / Webserver (um mal bei Rootservern zu bleiben) ?
Mit der Berücksichtigung lokaler Angriffsmöglichkeiten und den resultierenden Maßnahmen erschwere ich doch ggf. einem Eindringling der durch einen remote exploit Zugang zu Informationen (im o.g. Sinne) erhielt das weitere Vordringen - im Idealfall verhindere ich es sogar.
Eine erste "Hürde" für dieses Beispiel stellen die Berechtigungen unter Unix an sich dar. Nicht umsonst sollte ein Dienst, der öffentlich angeboten wird nicht unter "root" laufen, sondern unter einem minderprivilegierten Account, der hoffentlich auch keine Shell dafür braucht.

Ich wehre mich auch ganz bestimmt nicht dagegen, eine zusätzliche "Hürde" einzubauen, die es einem Angreifer erschwert, selbst wenn er auf der Shell hängt (und das solltest du wissen, wenn du meine bisherigen Beiträge hier im Forum gelesen hast), nur erscheint mir eine Diskussion, in der ab und an mal ein "Nebensatz" eingeworfen wird nicht gerade als sinnvoll, da wichtige Hintergründe für andere fehlen ...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ihr redet alle von Sicherheit

Post by dodolin » 2003-04-22 15:25

Jo, dea, vollste Zustimmung.

Für lokale Accounts gibt es IMHO Nutzungsbedingungen, die vor der Nutzung unterzeichnet werden. Wer dagegen verstösst, verliert den Account, ganz einfach.

Klar, das ist natürlich nur reaktiv, nicht proaktiv, aber IMHO wäre das für mich ok. Hier an meiner Uni gibt es über 10000 Shell-User und bisher gab es keine Probleme - und das, obwohl Studis ja bekanntlich die grössten Spielkinder sind. ;)

Insgesamt kann man wohl sagen, dass man unbedingt ein Konzept benötigt. Wenn man dann die Umsetzung z.b. mit gresecurity erreichen kann, bitte schön... dann soll es mir Recht sein.

Aber davon auszugehen, einfach grsecurity einsetzen und ich bin sicher... nee, das is nicht. Gilt genau mit chroot und allen anderen Massnahmen.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Ihr redet alle von Sicherheit

Post by dea » 2003-04-22 15:32

:D Ich hol' mir noch 'nen Kaffee und dann geht's los ... ;) :D (Gibt's eine Längenbeschränkung? *gg*)

Anonymous

Re: Ihr redet alle von Sicherheit

Post by Anonymous » 2003-04-22 15:52

dea wrote::D Ich hol' mir noch 'nen Kaffee und dann geht's los ... ;) :D
Jou, und bring etwas Popcorn mit.
(Gibt's eine Längenbeschränkung? *gg*)
Es wird sicher eine "hourly-soap"...

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Ihr redet alle von Sicherheit

Post by dea » 2003-04-22 16:42

*ex-user* wrote:
dea wrote::D Ich hol' mir noch 'nen Kaffee und dann geht's los ... ;) :D
Jou, und bring etwas Popcorn mit.
(Gibt's eine Längenbeschränkung? *gg*)
Es wird sicher eine "hourly-soap"...
Wir ham' leider keine PC-Maschine.

Ich hab' grad' wieder alles zusammengestrichen als ich merkte, dass ich mich in unnötigen Details verlor ... *g*



_________________

...: I :love: *ex-user* :... :wink:

Anonymous

[OT]

Post by Anonymous » 2003-04-22 17:06

Popcorn:
dea wrote:Wir ham' leider keine PC-Maschine.
Wat? Dann schütt das Zeuch doch auf den schnellen Brüter...
...: I :love: *ex-user* :... :wink:
Ich liebe nur Frauen mit glattrasierter Brust.

[EDIT]Natürlich müssen die beiden XXL-Huckel dranbleiben![/EDIT]
Last edited by Anonymous on 2003-04-22 17:12, edited 1 time in total.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: [OT]

Post by dea » 2003-04-22 17:08

*ex-user* wrote:
...: I :love: *ex-user* :... :wink:
Ich liebe nur Frauen mit glattrasierter Brust.
nööö - denn halt nich :wink:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ihr redet alle von Sicherheit

Post by dodolin » 2003-04-22 17:31

Sorry, aber bevor wir jetzt hier total vom Thema abkommen, schliesse ich diesen Thread mal. ;)