/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Sikkerhedshul i Unix
Fra : Andelika


Dato : 14-02-02 10:50

Hvilke kendte sikkerhedshuler er der i Unix sys.



 
 
Christian E. Lysel (14-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 14-02-02 10:53

Andelika wrote:

> Hvilke kendte sikkerhedshuler er der i Unix sys.


Hvad skal du bruge dem til?


Andelika (14-02-2002)
Kommentar
Fra : Andelika


Dato : 14-02-02 11:01

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C6B890D.9080603@example.net...
> Andelika wrote:
>
> > Hvilke kendte sikkerhedshuler er der i Unix sys.
>
>
> Hvad skal du bruge dem til?
>


Til en skole opgave::::::::



Christian E. Lysel (14-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 14-02-02 11:04

Andelika wrote:

> Til en skole opgave::::::::


Hvilket UNIX system?

Der findes så mange at jeg ikke har tal på det (både huller og UNIX
systemer) :)



Andelika (14-02-2002)
Kommentar
Fra : Andelika


Dato : 14-02-02 11:07


"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C6B8B8C.10401@example.net...
> Andelika wrote:
>
> > Til en skole opgave::::::::
>
>
> Hvilket UNIX system?
>
> Der findes så mange at jeg ikke har tal på det (både huller og UNIX
> systemer) :)
>
>
Kan du ikke nævne nogle af dem,,,,



Christian E. Lysel (14-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 14-02-02 11:08

Andelika wrote:

> Kan du ikke nævne nogle af dem,,,,


Hvad går den skole opgave ud på?




Andelika (14-02-2002)
Kommentar
Fra : Andelika


Dato : 14-02-02 11:14


"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C6B8C86.5070305@example.net...
> Andelika wrote:
>
> > Kan du ikke nævne nogle af dem,,,,
>
>
> Hvad går den skole opgave ud på?
>
>
>
Bare forklaring af svage punkter i Unix::::::::::::::



Kent Friis (14-02-2002)
Kommentar
Fra : Kent Friis


Dato : 14-02-02 11:18

Den Thu, 14 Feb 2002 11:13:31 +0100 skrev Andelika:
>
>"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
>news:3C6B8C86.5070305@example.net...
>> Andelika wrote:
>>
>> > Kan du ikke nævne nogle af dem,,,,
>>
>>
>> Hvad går den skole opgave ud på?
>>
>>
>>
>Bare forklaring af svage punkter i Unix::::::::::::::

Sikkerhedshuller og svage punkter behøver ikke være det samme. Sikker-
hedsfejl i unix-systemer skyldes fejl, og fejlene bliver rettet.

Umiddelbart mener jeg ikke det er sikkerhedproblemer du skal kaste dig
over - der må da være andre svage punkter du kan kaste dig over (selvom
jeg ikke lige kan komme på nogen).

Mvh
Kent
--
If I wanted a blue screen, I would type "xsetroot -solid blue"
- not D:\WINNT\SETUP

Daniel Blankensteine~ (17-02-2002)
Kommentar
Fra : Daniel Blankensteine~


Dato : 17-02-02 20:22

"Kent Friis" <kfr@fleggaard.dk> wrote in message
news:a4g2t5$bko$2@sunsite.dk...
> Umiddelbart mener jeg ikke det er sikkerhedproblemer du skal kaste dig
> over - der må da være andre svage punkter du kan kaste dig over (selvom
> jeg ikke lige kan komme på nogen).

Svage punkter i Unix? Tja...brugervenligheden samt udbuddet af grafiske
programmer, såsom 3D-tegneprogrammer.

mvh
db



Martin Moller Peders~ (17-02-2002)
Kommentar
Fra : Martin Moller Peders~


Dato : 17-02-02 21:25

In <a4ovs4$4be$1@sunsite.dk> "Daniel Blankensteiner" <db@traceroute.dk> writes:

>"Kent Friis" <kfr@fleggaard.dk> wrote in message
>news:a4g2t5$bko$2@sunsite.dk...
>> Umiddelbart mener jeg ikke det er sikkerhedproblemer du skal kaste dig
>> over - der må da være andre svage punkter du kan kaste dig over (selvom
>> jeg ikke lige kan komme på nogen).

>Svage punkter i Unix? Tja...brugervenligheden samt udbuddet af grafiske
>programmer, såsom 3D-tegneprogrammer.

Unix er da meget mere brugervenlig end en windows.

/Martin




Lasse Reichstein Nie~ (17-02-2002)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 17-02-02 22:07

tusk@daimi.au.dk (Martin Moller Pedersen) writes:

> Unix er da meget mere brugervenlig end en windows.

Det afhænger naturligvis af brugeren, og formålet med brugen, og
unixen, og windowsen, og maskinen de kører på, og vejret! Ja, hvis
solen skinner i skærmen, så er der rigtigt brug for brugervenlige
standard-farveskemaer! :)

/L

Christian E. Lysel (17-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-02-02 22:25

Martin Moller Pedersen wrote:

> Unix er da meget mere brugervenlig end en windows.


Jeg kalder det administratorvenligt.


Christian E. Lysel (14-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 14-02-02 11:24

Andelika wrote:

> Bare forklaring af svage punkter i Unix::::::::::::::


Kan du vedlægge en kopi af opgave teksten?


Povl H. Pedersen (17-02-2002)
Kommentar
Fra : Povl H. Pedersen


Dato : 17-02-02 16:27

On Thu, 14 Feb 2002 11:13:31 +0100,
Andelika <da11012@mail.ikasths.dk> wrote:
> Bare forklaring af svage punkter i Unix::::::::::::::

Et af de svage punkter er access control, eller mangel på samme,
samt manglende logging af resource. Du kan dog til Linux få patches
så sådanne implementeres.

Et andet er, at alle programmer der åbner en port < 1024 skal
køre som root på det tidspunkt.


Christian E. Lysel (17-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-02-02 17:09

Povl H. Pedersen wrote:

>>Bare forklaring af svage punkter i Unix::::::::::::::
> Et af de svage punkter er access control, eller mangel på samme,
> samt manglende logging af resource. Du kan dog til Linux få patches
> så sådanne implementeres.


Hvilket UNIX system snakker du om?

De størrer kommicielle kan godt udfører det du skriver de ikke kan!


> Et andet er, at alle programmer der åbner en port < 1024 skal
> køre som root på det tidspunkt.


Dette må da siges at være en fordel, i forhold til windows, hvor alle
bruger kan starte en listerne på selv porte der er i brug!


Allan Olesen (17-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 17-02-02 19:18

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Dette må da siges at være en fordel, i forhold til windows, hvor alle
>bruger kan starte en listerne på selv porte der er i brug!

Problemet er, at et program, der overhovedet ikke har brug for
root-privilegier, alligevel er nødt til at have dem for at kunne sætte
sig på porten. Og hver gang et program mere får root-privilegier,
tilføjer man en sikkerhedsrisiko.

Jeg er godt klar over, at der findes forskellige veje ud af dette
problem, men grundlæggende ville det være bedre, hvis root simpelthen
kunne bestemme, hvilke bruger der havde ret til at lytte på hvilke
porte.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (17-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-02-02 22:26

Allan Olesen wrote:

> Problemet er, at et program, der overhovedet ikke har brug for
> root-privilegier, alligevel er nødt til at have dem for at kunne sætte
> sig på porten. Og hver gang et program mere får root-privilegier,
> tilføjer man en sikkerhedsrisiko.
>
> Jeg er godt klar over, at der findes forskellige veje ud af dette
> problem, men grundlæggende ville det være bedre, hvis root simpelthen
> kunne bestemme, hvilke bruger der havde ret til at lytte på hvilke
> porte.


Har du hørt om inetd?


Allan Olesen (17-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 17-02-02 23:09

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Har du hørt om inetd?

Ja, men ville du bruge den til en proces, der skulle køre permanent?

Vedr. dit andet svar:
Nu snakkede vi vel generelle svagheder. At HP har lavet et
specialprodukt, som ikke indeholder svagheden, rokker ikke ved ret
meget i den diskussion.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (17-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-02-02 23:24

Allan Olesen wrote:

>>Har du hørt om inetd?
> Ja, men ville du bruge den til en proces, der skulle køre permanent?


Hvis du har det sikkerhedsproblem du nævner, ja...ellers ikke.


> Vedr. dit andet svar:
> Nu snakkede vi vel generelle svagheder. At HP har lavet et
> specialprodukt, som ikke indeholder svagheden, rokker ikke ved ret
> meget i den diskussion.


Det er ikke det at den ikke indeholder svagheden (og denne påstand er
jeg ikke enig i), men at du kan styrer hvilke bruger og applikation der
kan binde sig til en port der er interessant. Det rokker da ved diskutionen.


Allan Olesen (17-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 17-02-02 23:55

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>> Ja, men ville du bruge den til en proces, der skulle køre permanent?
>
>
>Hvis du har det sikkerhedsproblem du nævner, ja...ellers ikke.

Jamen, det sikkerhedsproblem har man vel i enhver unix, hvis root er
den eneste, som har lov til at forbinde sig til en lav port.

>> Vedr. dit andet svar:
>> Nu snakkede vi vel generelle svagheder. At HP har lavet et
>> specialprodukt, som ikke indeholder svagheden, rokker ikke ved ret
>> meget i den diskussion.
>
>
>Det er ikke det at den ikke indeholder svagheden (og denne påstand er
>jeg ikke enig i),

Jeg kender ikke produktet. Jeg troede bare, det var din påstand.

>men at du kan styrer hvilke bruger og applikation der
>kan binde sig til en port der er interessant.

Jamen, så har den vel ikke den svaghed, jeg omtaler? Nu har du tabt
mig.

>Det rokker da ved diskutionen.

Næ. Ingen har vist påstået, at der ikke kunne laves en unix uden den
omtalte svaghed.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (18-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-02 01:21

Allan Olesen wrote:

>>Hvis du har det sikkerhedsproblem du nævner, ja...ellers ikke.
> Jamen, det sikkerhedsproblem har man vel i enhver unix, hvis root er
> den eneste, som har lov til at forbinde sig til en lav port.


Men inetd flytter problemet ud, således at hvis andre brugere skal bruge
lave porte, behøver de ikke at være root.

Jeg vil dog selv ikke bruge inetd, men det er en anden snak.

>>Det er ikke det at den ikke indeholder svagheden (og denne påstand er
>>jeg ikke enig i),
> Jeg kender ikke produktet. Jeg troede bare, det var din påstand.


Jeg kommenterede:

...men grundlæggende ville det være bedre, hvis root simpelthen
kunne bestemme, hvilke bruger der havde ret til at lytte på hvilke
porte..

Og anbefaldede dig at kikke på SecureLinux fra HP, da jeg har en gammel
kollega der arbejder i HP's sikkerhedsafdeling, som har været på kursus
i produktet, og ud fra hvad han har fortalt kan den det du søger.

>>men at du kan styrer hvilke bruger og applikation der
>>kan binde sig til en port der er interessant.
> Jamen, så har den vel ikke den svaghed, jeg omtaler? Nu har du tabt
> mig.


Alt har svagheder, fx kan SecureLinux godt sættes forkert op.

>>Det rokker da ved diskutionen.
> Næ. Ingen har vist påstået, at der ikke kunne laves en unix uden den
> omtalte svaghed.


Endnu engang kommenterede jeg:


....men grundlæggende ville det være bedre, hvis root simpelthen
kunne bestemme, hvilke bruger der havde ret til at lytte på hvilke
porte..


Hvilket er muligt i SecureLinux.




Allan Olesen (18-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-02-02 01:29

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Endnu engang kommenterede jeg:
>
>
>...men grundlæggende ville det være bedre, hvis root simpelthen
>kunne bestemme, hvilke bruger der havde ret til at lytte på hvilke
>porte..

Og endnu engang skriver jeg:
Hvilket indgik i en generel diskussion om unix-sikkerhed.

>Hvilket er muligt i SecureLinux.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (18-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-02 01:53

Allan Olesen wrote:

> Og endnu engang skriver jeg:
> Hvilket indgik i en generel diskussion om unix-sikkerhed.


Nu har du tabt mig.

Du ser et problem i at kun root kan binde til lave porte, dvs. at hvis
en almidelig brugeren skal binde til en lav port, skal han/hun være
root. Dette kan jeg godt følge dig i.

inetd er en applikation der kan portes til de fleste UNIX systemer.

At inetd kører med uid 0, ser jeg ikke som noget problem i denne
sammenhæng. De nye processor den starter kan kører som en hvilken som
helst uid. Hermed er det også uid 0 der bestemmer hvilken bruger der må
lytte på hvilken port. Således skal en almidelig brugere ikke længere
være root for at kunne binde til en lav port.


Men hvis jeg sammenligner det med fx windows, ser jeg det som et størrer
problem at alle kan binde til lave porte. Således kan jeg binde til en
aktiv port, og aflytte al netværkstrafik til denne. For at brugeren ikke
skal fatte mistanke kan jeg sende en kopi af trafikken til porten på
localhost.


Allan Olesen (18-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-02-02 07:10

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Nu har du tabt mig.

Det er ellers ikke spor svært. En person har spurgt efter generelle
svagheder i unix. Nogle andre personer har svaret ved at gøre
opmærksom på root/port-problemet. Du forsøger at feje dette generelle
problem af bordet ved at pege på en specifik implementation, hvor
problemet ikke eksistere. Den går ganske simpelt ikke.

>Du ser et problem i at kun root kan binde til lave porte, dvs. at hvis
>en almidelig brugeren skal binde til en lav port, skal han/hun være
>root. Dette kan jeg godt følge dig i.
>
>inetd er en applikation der kan portes til de fleste UNIX systemer.

Det er jo kun en lappeløsning på det reelle problem. For det første
skal inetd selv startes som root, og man har dermed kun flyttet
problemet. For det andet er det ikke specielt sjovt at skulle flytte
en opstartstung proces over på inetd, hvor den skal startes og stoppes
hele tiden i stedet for at køre som daemon.

[...]

>Men hvis jeg sammenligner det med fx windows, ser jeg det som et størrer
>problem at alle kan binde til lave porte. Således kan jeg binde til en
>aktiv port, og aflytte al netværkstrafik til denne. For at brugeren ikke
>skal fatte mistanke kan jeg sende en kopi af trafikken til porten på
>localhost.

Det afhænger fuldstændigt af, om man ser muligheden for, at lokale
brugere lytter uatoriseret på porte, som et større sikkerhedsproblem,
end at personer udefra kan opnå adgang til at udføre programmer med
root-rettigheder. Personligt er jeg ikke i tvivl.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (18-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-02 09:13

Allan Olesen wrote:

> Det er ellers ikke spor svært. En person har spurgt efter generelle
> svagheder i unix. Nogle andre personer har svaret ved at gøre
> opmærksom på root/port-problemet. Du forsøger at feje dette generelle
> problem af bordet ved at pege på en specifik implementation, hvor
> problemet ikke eksistere. Den går ganske simpelt ikke.


Men denne specifikke implementation er at finde på de fleste UNIX
systemer, og bliver faktisk brugt.

Jeg er ikke til dags dato stødt på et UNIX system der ikke bruger inetd.

> Det er jo kun en lappeløsning på det reelle problem. For det første
> skal inetd selv startes som root, og man har dermed kun flyttet


At det skal startes om root, kommer vi ikke unden om.

At kernel også kører som "uid 0", kommer vi heller ikke uden om.

> problemet. For det andet er det ikke specielt sjovt at skulle flytte
> en opstartstung proces over på inetd, hvor den skal startes og stoppes
> hele tiden i stedet for at køre som daemon.


xinetd som er en mere specifik implementation, løser dette.

>>Men hvis jeg sammenligner det med fx windows, ser jeg det som et størrer
>>problem at alle kan binde til lave porte. Således kan jeg binde til en
>>aktiv port, og aflytte al netværkstrafik til denne. For at brugeren ikke
>>skal fatte mistanke kan jeg sende en kopi af trafikken til porten på
>>localhost.
> Det afhænger fuldstændigt af, om man ser muligheden for, at lokale
> brugere lytter uatoriseret på porte, som et større sikkerhedsproblem,
> end at personer udefra kan opnå adgang til at udføre programmer med


Som i inetd's tilfælde ikke bliver udført med uid 0 rettigheder, derved
eksistere det problem du snakker om ikke.


> root-rettigheder. Personligt er jeg ikke i tvivl.

Er angriberen smart nok, tager det ikke lang tid før han har
administrator domain passwordet, og har derved adgang til alle maskiner
i domainet. Men ja, det kræver han er en lokal bruger på maskinen eller
domainet.


Allan Olesen (18-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-02-02 18:12

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Men denne specifikke implementation er at finde på de fleste UNIX
>systemer, og bliver faktisk brugt.
>
>Jeg er ikke til dags dato stødt på et UNIX system der ikke bruger inetd.

Nu er det vist på tide, at du får læst op på tråden. Min kommentar
handlede om HP-løsningen, ikke om inetd.

[...]
>xinetd som er en mere specifik implementation, løser dette.

Ok. Det burde jeg nok have sagt mig selv.

>Som i inetd's tilfælde ikke bliver udført med uid 0 rettigheder, derved
>eksistere det problem du snakker om ikke.

Ikke så længe, inetd (og vel også tcpd?) fungerer efter hensigten. Men
det kan du sige om enhver daemon.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (18-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-02 18:25

Allan Olesen wrote:

>>Jeg er ikke til dags dato stødt på et UNIX system der ikke bruger inetd.
> Nu er det vist på tide, at du får læst op på tråden. Min kommentar
> handlede om HP-løsningen, ikke om inetd.


Hmm, jeg forsøgte at starte en selvstændig tråd for HP's produkt, men
det er ikke lykkes.

>>xinetd som er en mere specifik implementation, løser dette.
> Ok. Det burde jeg nok have sagt mig selv.


>>Som i inetd's tilfælde ikke bliver udført med uid 0 rettigheder, derved
>>eksistere det problem du snakker om ikke.
> Ikke så længe, inetd (og vel også tcpd?) fungerer efter hensigten. Men
> det kan du sige om enhver daemon.


Og det kan jeg også sige om kernen eller en hvilken som helst anden ting
i universet :)


Christian E. Lysel (17-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-02-02 23:01

Allan Olesen wrote:

> Jeg er godt klar over, at der findes forskellige veje ud af dette
> problem, men grundlæggende ville det være bedre, hvis root simpelthen
> kunne bestemme, hvilke bruger der havde ret til at lytte på hvilke
> porte.


HP har lavet SecureLinux. Prøv at kikke på det.




Michael Knudsen (17-02-2002)
Kommentar
Fra : Michael Knudsen


Dato : 17-02-02 19:28

>> Et andet er, at alle programmer der åbner en port < 1024 skal
>> køre som root på det tidspunkt.
>
>
> Dette må da siges at være en fordel, i forhold til windows, hvor alle
> bruger kan starte en listerne på selv porte der er i brug!

Enig. Jeg mindes at have hørt om DOS, der reelt blot indebar at sætte
netcat op på port 139 under boot.

Man kan dog fristes til at sige, at der burde være et andet krav end
at have UID 0. Man kunne forestille sig, at man havde en gruppe
(eks. daemon, service eller noget tredie[1]), som var billet nok til
en priviligeret port.

Mvh. Michael
--
Rumour is information distilled so finely that it can filter through anything.
-- (Terry Pratchett, Feet of Clay)

Christian E. Lysel (17-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-02-02 22:26

Michael Knudsen wrote:

> Man kan dog fristes til at sige, at der burde være et andet krav end
> at have UID 0. Man kunne forestille sig, at man havde en gruppe
> (eks. daemon, service eller noget tredie[1]), som var billet nok til
> en priviligeret port.



Har du hørt om inetd? :)


Thomas (17-02-2002)
Kommentar
Fra : Thomas


Dato : 17-02-02 22:40

Christian E. Lysel wrote:

[...]

> Har du hørt om inetd? :)

Nu har du skrevet det 2 gange, er der noget du prøver at sige ?

--
Don't waste space

Christian E. Lysel (17-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 17-02-02 23:03

Thomas wrote:

>>Har du hørt om inetd? :)
> Nu har du skrevet det 2 gange, er der noget du prøver at sige ?


Ja, at inetd kan bruges til det de forspørger.

xinetd kan også bruges.


Allan Olesen (17-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 17-02-02 23:55

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Ja, at inetd kan bruges til det de forspørger.

Som hvilken bruger skal inetd startes?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (18-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-02 01:09

Allan Olesen wrote:

>>Ja, at inetd kan bruges til det de forspørger.
> Som hvilken bruger skal inetd startes?


uid 0

De services der skal lytte på lave porte behøver ikke uid 0.




Allan Olesen (18-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-02-02 01:28

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>uid 0

Og så er vi tilbage ved start: Hvad hvis der er en sårbarhed i inetd?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (18-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-02 01:34

Allan Olesen wrote:

>>uid 0
> Og så er vi tilbage ved start: Hvad hvis der er en sårbarhed i inetd?


Dette er også grunden til _jeg_ ikke bruger inetd.

Endvidere skrev jeg også ...De services der skal lytte på lave porte
behøver ikke uid 0...


Allan Olesen (18-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-02-02 07:01

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Dette er også grunden til _jeg_ ikke bruger inetd.
>
>Endvidere skrev jeg også ...De services der skal lytte på lave porte
>behøver ikke uid 0...

Vi er enige om, at et eller andet nødvendigvis skal køres som root for
at forbinde sig til de lave porte, uanset om man kører med eller uden
inetd, ikke? Det er egentlig kernen i det her.

(Og her har jeg så tilladt mig at se bort fra muligheden af, at man
kører et eller anden obskurt HP OS.)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (18-02-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-02-02 10:51

Allan Olesen wrote:
>
> "Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:
>
> >uid 0
>
> Og så er vi tilbage ved start: Hvad hvis der er en sårbarhed i inetd?

Så har du et problem. Men at flytte funktionaliteten over i
kernen er jo ingen garanti mod problemer, det kunne være, at
du flyttede sårbarheden med.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

Allan Olesen (18-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-02-02 18:15

Kasper Dupont <kasperd@daimi.au.dk> wrote:

>Så har du et problem. Men at flytte funktionaliteten over i
>kernen er jo ingen garanti mod problemer, det kunne være, at
>du flyttede sårbarheden med.

Det vil jeg til dels give dig ret i, men det ville jo kun være en
meget lille del af funktionaliteten, man behøvede flytte med. Så den
samlede mængde kode med potentielle root-rettigheder burde blive
mindre på den måde.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Christian E. Lysel (18-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 18-02-02 18:26

Allan Olesen wrote:

> Det vil jeg til dels give dig ret i, men det ville jo kun være en
> meget lille del af funktionaliteten, man behøvede flytte med. Så den
> samlede mængde kode med potentielle root-rettigheder burde blive
> mindre på den måde.


Hvad er så bedst for en angriber, at have adgang til user space eller
kernel space?


Allan Olesen (18-02-2002)
Kommentar
Fra : Allan Olesen


Dato : 18-02-02 21:43

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Hvad er så bedst for en angriber, at have adgang til user space eller
>kernel space?

Som root? Det kan vel komme ud på eet.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

Kasper Dupont (18-02-2002)
Kommentar
Fra : Kasper Dupont


Dato : 18-02-02 10:56

Michael Knudsen wrote:
>
> >> Et andet er, at alle programmer der åbner en port < 1024 skal
> >> køre som root på det tidspunkt.
>
> Man kan dog fristes til at sige, at der burde være et andet krav end
> at have UID 0. Man kunne forestille sig, at man havde en gruppe
> (eks. daemon, service eller noget tredie[1]), som var billet nok til
> en priviligeret port.

CAP_NET_BIND_SERVICE findes i Linux. I headerfilen står
der noget om en POSIX draft standard.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

Alex Holst (18-02-2002)
Kommentar
Fra : Alex Holst


Dato : 18-02-02 01:37

Povl H. Pedersen <nospam@home.terminal.dk> wrote:
> On Thu, 14 Feb 2002 11:13:31 +0100,
> Andelika <da11012@mail.ikasths.dk> wrote:
>> Bare forklaring af svage punkter i Unix::::::::::::::

Hvis der ikke spoerges om noget specifikt bliver vores svar ofte
ubrugelige.

> Et af de svage punkter er access control, eller mangel på samme,
> samt manglende logging af resource.

De fleste UNIX systemer har da en form for adgangskontrol. Brugeren
"holsta" kan i de fleste tilfaelde forhindres i at skrive til f.eks.
/bsd eller /etc/rc -- at det saa ikke _hedder_ Access Control Lists er
saa noget andet. Der findes andre sikkerhedsmodeller end den som lige
benyttes i de fleste UNIX systemer, men at ligefrem sige der er en
mangelfuld adgangskontrol synes jeg er forkert.

Mange admins forstaar ikke engang at bruge standard UNIX permissions
korrekt, saa jeg har ikke stor tiltro til at en gennemsnits admin kan
implementere MAC, RBAC eller lignende korrekt. Jeg er personligt *meget*
spaendt paa hvordan FreeBSD 5.0's sikkerhedsmodel bliver modtaget af den
almindelige admin.

De fleste UNIX systemer har ogsaa forskellige former for process
accounting og limiting.

> Et andet er, at alle programmer der åbner en port < 1024 skal
> køre som root på det tidspunkt.

Det er ikke en decideret "UNIX sikkerhedsfejl" -- det er et POSIX krav,
som i en anden POSIX standard er blevet aendret, men de fleste systemer
implementerer ikke denne senere standard.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Christian E. Lysel (14-02-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 14-02-02 11:07

Andelika wrote:

> Hvilke kendte sikkerhedshuler er der i Unix sys.


Google er din ven, lærer man ikke på din skole?

http://www.google.com/search?q=unix+exploit&hl=da&lr=

http://directory.google.com/Top/Computers/Security/Unix/



Andelika (14-02-2002)
Kommentar
Fra : Andelika


Dato : 14-02-02 11:09


"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C6B8C31.1090805@example.net...
> Andelika wrote:
>
> > Hvilke kendte sikkerhedshuler er der i Unix sys.
>
>
> Google er din ven, lærer man ikke på din skole?
>
> http://www.google.com/search?q=unix+exploit&hl=da&lr=
>
> http://directory.google.com/Top/Computers/Security/Unix/
>
>

TAK!!!!!!



Søg
Reklame
Statistik
Spørgsmål : 177550
Tips : 31968
Nyheder : 719565
Indlæg : 6408822
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste