wget einschränken

Rund um die Sicherheit des Systems und die Applikationen
timejunky
Posts: 14
Joined: 2006-12-09 15:29

wget einschränken

Post by timejunky » 2006-12-12 03:07

In dem Thread http://www.rootforum.org/forum/viewtopic.php?t=43282 'www-data hacked' war die Schwachstelle der übliche Benutzername von Apache.

Macht es Sinn die Ausführbarkeit von wget nur für bestimmte Benutzer/Gruppe einzuschränken (sudoers) oder kann es damit Probleme z.B. 'Updates holen' etc. geben?

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: wget einschränken

Post by rootsvr » 2006-12-12 09:52

Die Schwachstelle war nicht der übliche Benutzername von apache sondern (wie üblich) Schwachstellen in Webapplikationen unter welchem User der Apache (oder zutreffender der PHP Interpreter) läuft ist irrelevant.

Deinem Vorschlag rechne ICH keine zusätzliche Sicherheit an, gibt genug Sachen um Daten auf den Rechner zu bekommen (wget, ftp, eigene Scripte, links/elinks)

thorsten
Posts: 561
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: wget einschränken

Post by thorsten » 2006-12-12 10:35

Bei meinem Server darf der Port 80 ausgehend nur auf die debian update Server geöffnet werden - dafür sorgt iptables...

timejunky
Posts: 14
Joined: 2006-12-09 15:29

Re: wget einschränken

Post by timejunky » 2006-12-12 13:56

@rootsvr
soweit ich verstanden hatte konnte über squiremail und dem über apache erreichbaren user www-data das system manipuliert werden. Sollte also heißen, auf dem selben wege hätten auch andere user wie ftp etc. verwendet werden können? na oki, hilft es dann trotzdem nicht, nur bestimmten usern wget zu ermöglichen?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: wget einschränken

Post by Joe User » 2006-12-12 14:02

PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

timejunky
Posts: 14
Joined: 2006-12-09 15:29

Re: wget einschränken

Post by timejunky » 2006-12-12 14:32

danke 8)

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: wget einschränken

Post by rootsvr » 2006-12-13 14:32

wie schon gesagt, wenn der User mit den Rechten des Webservers eigene Dateien ausführen kann hat er (wenn er schlau ist) gewonnen. ftp, wget und co sind dann vielleicht abkürzungen aber nicht notwendig.

Schreib deine Anwendungen sicher, das ist wohl die beste Methode, das andere ist wohl eher geeignet, damit du dich sicherer fühlst (ich hab was getan) statt das es hilft.. erinnert mich an die Killerspiel Disukussionen - "hauptsache man tut was".

buddaaa
Posts: 163
Joined: 2004-11-08 09:59

Re: wget einschränken

Post by buddaaa » 2007-01-11 00:26

Thorsten wrote:Bei meinem Server darf der Port 80 ausgehend nur auf die debian update Server geöffnet werden - dafür sorgt iptables...
damit kann der boese bube aber immer noch auf port 81 seinen exploit abholen. besser ist es dem www-user (per ipt_owner) keine netzverbindungen zu erlauben ausser auf port 80 und 443 zu antworten.

Code: Select all

/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state  --state NEW -j LOG --log-prefix WWWRUNOUT
/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state  --state NEW -j DROP
wenn man horde installiert hat muss man noch zugriff auf smtp und imap erlauben:

Code: Select all

/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state --state NEW -p TCP -m multiport --dport 25,143 -d 127.0.0.1  -s 127.0.0.1 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state --state NEW -p TCP -m multiport --dport 25,143 -d $IPADDR  -s 127.0.0.1 -j ACCEPT
plus eventuell noch andere dienste, die webapplikationen brauchen (DNS, plesk-update, ...?)

bei plesk kriegt man die ganzen www-user mit "-m owner --gid-owner 10001".