[linux-l] Einige Fragen zu GRsecurity...

Peter Ross Peter.Ross at alumni.tu-berlin.de
Do Jan 22 11:43:18 CET 2004 

On Wed, 21 Jan 2004, Oliver Beck wrote:

> On Wed, 21 Jan 2004 12:20:02 +1100 (EST)
> Peter Ross <Peter.Ross at alumni.tu-berlin.de> wrote:
>
> Das ist meiner Meinung nach eher von dem Programm, das in /var/mail
> resp. /tmp schreibt, abhängig. Wenn dieses laxe Deteirechte vergibt,
> hat es sich auch. (Bis auf /var/mail, da das ja ein Stickybit hat)

Ja, aber glaubst Du, das war am ersten Tag von /var/mail klar? Es bedarf
einfach einiger Ueberlegung, um soetwas sauber zu implementieren. Diese
Arbeit steht Dir mit ACLs auch bevor.

> Aber ich bin dadurch noch nicht vor einem Programm geschützt, dessen
> Fehler im Code es erlaubt, andere Datei zu lesen, als es eig. sollte.
> Daher sehe ich schon eine Daseinsberechtigung für ACL's.

Lasse einen Service nicht mit Rootrechten laufen und erlaube in der Regel
Leserechte nur fuer den Nutzer eines Programms zu. Damit kommst Du schon
ziemlich weit.

Aber natuerlich hast Du recht, ACLs koennen mehr.

> > Inzwischen kann man so einigermassen Vertrauen haben, dass es
> > einigermassen auch von den Programmierern beherrscht wird (auch wenn
> > man immer mal wieder Sicherheitsloecher in der Art von Editoren
> > findet, die Tempdateien mit der umask anlegen, obwohl die
> > Ursprungsdatei halt 600 hatte, und so Spionieren ermoeglichen).
>
> Das mag auf einem normalen System, das für User gedacht ist, akzeptabel
> sein. Aber einer Firewall, einem Webserver oder was auch immer, kann es
> leicht das Genick brechen und nicht nur die Kniescheibe zertrümmern.

Oja. Und ich habe schon Maschines gesehen, auf dem der Admin den
verhassten vi durch joe ersetzt hat - mit genanntem Sicherheitsproblem.

> Das Linux im Vergleich zu *-BSD in Sachen Standart-Sicherheit den
> kürzeren zieht, ist unumstritten. Aber es hat für keinen Sinn mehr,
> jetzt nochmal mehr oder weniger von vorn anzufangen, und alles mit *-BSD
> nochmal zu machen. Dazu hab ich schon zu viel Zeit in das härten von
> Linux investiert, als das ich das jetzt aufgebe.

Leuchtet ein.

> Vielleicht ist jemanden LRs-Linux ([Bernd] Ellers-Linux)  bekannt.

Bis jetzt noch nicht..

Gruss
Peter

Mehr Informationen über die Mailingliste linux-l