Bash/Shell Wrapper

Rund um die Sicherheit des Systems und die Applikationen
stickybit
Posts: 59
Joined: 2007-08-16 09:39

Bash/Shell Wrapper

Post by stickybit » 2012-10-12 20:08

Servus,

nach mehreren erfolgreichen Einbrüchen in die Wordpress-Installationen bei einigen Usern, bin ich am Überlegen, wie ich das Problem lösen sollte.

Die exec() usv. sind aktiviert und müssen leider aktiviert bleiben. Ich dachte, wenn ich eine Art Wrapper für den Shell aufsetze, quasy die Übergabe von HP in die Shell abfange und checke, was da alles in die Shell ausgespuckt wird. Ich würde dann nur bestimmte Befehle durchlassen, der Rest kommt einfach nicht durch.

Meine Fragen an die Experten.

1. Mache ich einen gedanklichen Fehler oder könnte das wirklcih die lösung sein?
2. Weiß jemand, ob für das Problem bereits eine fertige Lösung gibt? Ich möchte ungern das Rad neu erfinden.

Für Ideen, Anregungen und jeden Hinweis bin sehr dankbar!

Grüße
Andre

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Bash/Shell Wrapper

Post by Joe User » 2012-10-12 22:45

Technische Lösungsmöglichkeit:
Einen Teil (und vieles Andere) kann http://cgiwrap.unixtools.org/ erledigen, der Rest läuft dann über restriktive Chroots und entsprechende Kernel-Optionen/Patches und ein paar andere kleine Gemeinheiten. Ob sich der ganze Aufwand lohnt, muss jeder Admin selbst entscheiden, zumal jede Erhöhung der Systemsicherheit automatisch den Komfort und die Freiheiten der User (stark) einschränkt.


Soziale Lösungsmöglichkeit:
Von faulen Usern (keine zeitnahen Updates) muss man sich langfristig trennen, insbesondere wenn sie die Systemsicherheit gefährden.
Oder anders formuliert: Den Update-Muffeln kräftig in den Allerwertesten treten und klare Richtlinien aufzwingen. Bei Wiederholungstätern dann konsequent kündigen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

ddm3ve
Moderator
Moderator
Posts: 1187
Joined: 2011-07-04 10:56

Re: Bash/Shell Wrapper

Post by ddm3ve » 2012-10-13 02:06

Man kann sich auf die "Updatemuffel" ggf. auch einstellen und eben eine Vorbereitete Basisinstallation zur Verfügung stellen, die der Kunde mit nutzen "muss".

Als bestes Beispiel ist wohl typo3 zu nennen, was mit entsprechender Verlinkung zentral verwaltet wird. Erspart auch viel Updateaufwand.

Der andere Punkt, wrapper um irgendwelche Binaries....
Zum einen riskiert man ggf. Störungen und unschöne Effekte durch Nebenwirkungen.
Der andere Punkt ist, ich bringe mir als "potentieller Angreifer" meine Toolbox mit. Ich brauch und will Deine shell, bash etc. nicht.
3. ein exec greift nicht direkt auf die shell zu.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.