wget einschränken

Post by **timejunky** » 2006-12-12 03:07

In dem Thread http://www.rootforum.org/forum/viewtopic.php?t=43282 'www-data hacked' war die Schwachstelle der übliche Benutzername von Apache.

Macht es Sinn die Ausführbarkeit von wget nur für bestimmte Benutzer/Gruppe einzuschränken (sudoers) oder kann es damit Probleme z.B. 'Updates holen' etc. geben?

Post by **rootsvr** » 2006-12-12 09:52

Die Schwachstelle war nicht der übliche Benutzername von apache sondern (wie üblich) Schwachstellen in Webapplikationen unter welchem User der Apache (oder zutreffender der PHP Interpreter) läuft ist irrelevant.

Deinem Vorschlag rechne ICH keine zusätzliche Sicherheit an, gibt genug Sachen um Daten auf den Rechner zu bekommen (wget, ftp, eigene Scripte, links/elinks)

Post by **thorsten** » 2006-12-12 10:35

Bei meinem Server darf der Port 80 ausgehend nur auf die debian update Server geöffnet werden - dafür sorgt iptables...

Post by **timejunky** » 2006-12-12 13:56

@rootsvr
soweit ich verstanden hatte konnte über squiremail und dem über apache erreichbaren user www-data das system manipuliert werden. Sollte also heißen, auf dem selben wege hätten auch andere user wie ftp etc. verwendet werden können? na oki, hilft es dann trotzdem nicht, nur bestimmten usern wget zu ermöglichen?

Post by **Joe User** » 2006-12-12 14:02

http://www.rootforum.org/forum/viewtopic.php?t=23595

Post by **timejunky** » 2006-12-12 14:32

danke 8)

Post by **rootsvr** » 2006-12-13 14:32

wie schon gesagt, wenn der User mit den Rechten des Webservers eigene Dateien ausführen kann hat er (wenn er schlau ist) gewonnen. ftp, wget und co sind dann vielleicht abkürzungen aber nicht notwendig.

Schreib deine Anwendungen sicher, das ist wohl die beste Methode, das andere ist wohl eher geeignet, damit du dich sicherer fühlst (ich hab was getan) statt das es hilft.. erinnert mich an die Killerspiel Disukussionen - "hauptsache man tut was".

Post by **buddaaa** » 2007-01-11 00:26

Thorsten wrote:Bei meinem Server darf der Port 80 ausgehend nur auf die debian update Server geöffnet werden - dafür sorgt iptables...

damit kann der boese bube aber immer noch auf port 81 seinen exploit abholen. besser ist es dem www-user (per ipt_owner) keine netzverbindungen zu erlauben ausser auf port 80 und 443 zu antworten.

Code: Select all

/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state  --state NEW -j LOG --log-prefix WWWRUNOUT
/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state  --state NEW -j DROP

wenn man horde installiert hat muss man noch zugriff auf smtp und imap erlauben:

Code: Select all

/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state --state NEW -p TCP -m multiport --dport 25,143 -d 127.0.0.1  -s 127.0.0.1 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state --state NEW -p TCP -m multiport --dport 25,143 -d $IPADDR  -s 127.0.0.1 -j ACCEPT

plus eventuell noch andere dienste, die webapplikationen brauchen (DNS, plesk-update, ...?)

bei plesk kriegt man die ganzen www-user mit "-m owner --gid-owner 10001".

RootForum Community

wget einschränken

wget einschränken

Re: wget einschränken

Re: wget einschränken

Re: wget einschränken

Re: wget einschränken

Re: wget einschränken

Re: wget einschränken

Re: wget einschränken