Page 1 of 1
wget einschränken
Posted: 2006-12-12 03:07
by timejunky
In dem Thread
http://www.rootforum.org/forum/viewtopic.php?t=43282 'www-data hacked' war die Schwachstelle der übliche Benutzername von Apache.
Macht es Sinn die Ausführbarkeit von wget nur für bestimmte Benutzer/Gruppe einzuschränken (sudoers) oder kann es damit Probleme z.B. 'Updates holen' etc. geben?
Re: wget einschränken
Posted: 2006-12-12 09:52
by rootsvr
Die Schwachstelle war nicht der übliche Benutzername von apache sondern (wie üblich) Schwachstellen in Webapplikationen unter welchem User der Apache (oder zutreffender der PHP Interpreter) läuft ist irrelevant.
Deinem Vorschlag rechne ICH keine zusätzliche Sicherheit an, gibt genug Sachen um Daten auf den Rechner zu bekommen (wget, ftp, eigene Scripte, links/elinks)
Re: wget einschränken
Posted: 2006-12-12 10:35
by thorsten
Bei meinem Server darf der Port 80 ausgehend nur auf die debian update Server geöffnet werden - dafür sorgt iptables...
Re: wget einschränken
Posted: 2006-12-12 13:56
by timejunky
@rootsvr
soweit ich verstanden hatte konnte über squiremail und dem über apache erreichbaren user www-data das system manipuliert werden. Sollte also heißen, auf dem selben wege hätten auch andere user wie ftp etc. verwendet werden können? na oki, hilft es dann trotzdem nicht, nur bestimmten usern wget zu ermöglichen?
Re: wget einschränken
Posted: 2006-12-12 14:02
by Joe User
Re: wget einschränken
Posted: 2006-12-12 14:32
by timejunky
danke 8)
Re: wget einschränken
Posted: 2006-12-13 14:32
by rootsvr
wie schon gesagt, wenn der User mit den Rechten des Webservers eigene Dateien ausführen kann hat er (wenn er schlau ist) gewonnen. ftp, wget und co sind dann vielleicht abkürzungen aber nicht notwendig.
Schreib deine Anwendungen sicher, das ist wohl die beste Methode, das andere ist wohl eher geeignet, damit du dich sicherer fühlst (ich hab was getan) statt das es hilft.. erinnert mich an die Killerspiel Disukussionen - "hauptsache man tut was".
Re: wget einschränken
Posted: 2007-01-11 00:26
by buddaaa
Thorsten wrote:Bei meinem Server darf der Port 80 ausgehend nur auf die debian update Server geöffnet werden - dafür sorgt iptables...
damit kann der boese bube aber immer noch auf port 81 seinen exploit abholen. besser ist es dem www-user (per ipt_owner) keine netzverbindungen zu erlauben ausser auf port 80 und 443 zu antworten.
Code: Select all
/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state --state NEW -j LOG --log-prefix WWWRUNOUT
/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state --state NEW -j DROP
wenn man horde installiert hat muss man noch zugriff auf smtp und imap erlauben:
Code: Select all
/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state --state NEW -p TCP -m multiport --dport 25,143 -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -m owner --uid-owner 30 -m state --state NEW -p TCP -m multiport --dport 25,143 -d $IPADDR -s 127.0.0.1 -j ACCEPT
plus eventuell noch andere dienste, die webapplikationen brauchen (DNS, plesk-update, ...?)
bei plesk kriegt man die ganzen www-user mit "-m owner --gid-owner 10001".