ET 2.55 Linux Server unter SuSE 9.3

Alles rund um das scripten und Server aufsetzen
maelli
Jungspund
Jungspund
Beiträge: 12
Registriert: Di 14. Apr 2009, 21:16
Alter: 34

Beitrag von maelli »

Danke für die Tipps und die Aufklärung hehe. Ich habe screen genommen weil ich vorher suse hatte und da hatte ichs schon mit screen gemacht zumindest habe ich es einmal gelesen das es damit geht ;D

Aber wenn ich alles auf 0777 setze ist das sicherheitstechnisch nicht gut oder einfach überflüssig. Weiss eben nicht :?

MFG
Benutzeravatar
WoodSTokk
Helpdesk
Helpdesk
Beiträge: 2634
Registriert: Fr 6. Dez 2002, 03:09
Wohnort: Wien/Österreich/Europa/Erde
Alter: 53

Beitrag von WoodSTokk »

maelli hat geschrieben:Aber wenn ich alles auf 0777 setze ist das sicherheitstechnisch nicht gut oder einfach überflüssig. Weiss eben nicht :?
Die Rechte '0777' (rwxrwxrwx) bedeuten, daß jeder (Besitzer, Gruppenmitglieder und Rest der Welt) die Dateien lesen, schreiben und ausführen darf.
Das Ausführrecht (eXecute) benötigen nur die Binaries und Scripte (et et.x86 etded etded.x86) um den Server zu starten.
Dieses Recht braucht in dem Fall auch nur der Besitzer, damit, ausser der Besitzer selbst, niemand die Binaries läd.
Alle anderen Dateien, müssen für den Besitzer mindestens lesbar sein, meistens hat der Besitzer aber auch das Schreibrecht (rw-).
Gruppenmitglieder bekommen (wenn überhaubt) nur das Leserecht (r--).
Rest der Welt (also nicht Besitzer und keine Gruppenmitglieder) sollten mit den Dateien garnichts anfangen können (---).
Dadurch ergeben sich die Rechte 'rw-r-----' also '0640'.

Warum das alles?
Sollte irgend jemand einen Prozess auf deinen Server cracken, bekommt er die Shell mit den Rechten des Besitzers von dem Prozess den er gecrackt hat.
Darum sollten Prozesse, die Verbindungen zum und vom Netz erlauben, niemals als root laufen.
Der Cracker hat nun eine Shell unter einer eingeschränkten UserID.
Dadurch wird er vom System für die ET-Dateien als 'Rest der Welt' gewertet.
Wenn er da dann Schreibrechte hat, kann er alle Dateien (auch die Binaries) ändern, wodurch er ein Rootkit einschleusen kann!
Der Cracker muß also nicht unbedingt den ET-Prozess selber cracken, es reicht auch ein anderer Prozess.
Durch die restriktiven Rechte (Rest der Welt darf nichts), kann ein normaler User nichts an den ET-Dateien verändern.
Änderungen kann nur der Besitzer und root durchführen.
Ein Cracker muß also den ET-Prozess selber knacken, damit er die ET-Files ändern, aber sonst nichts im System anstellen kann, oder er verschaft sich irgendwie anders root-Rechte, aber dann hast du sowieso andere Probleme als den ET-Server ;)

Für noch mehr Sicherheit, kann man Prozesse in ein Root-Jail einsperren (siehe 'man chroot').
Damit wird das Wurzelverzeichnis (Rootdirectory '/' ) für diesen einen Prozess woanders festgelegt.
In diesem Root-Jail liegen nur die Dateien die der Prozess unbedingt braucht um korrekt zu funktionieren.
Sollte ein Cracker einen solchen Prozess knacken, kann er sich nur in diesem Gefängnis bewegen.
Ein 'rm -rf /' löscht alles im Gefängnis des Prozesses und nicht den ganzen Host.

mfG WoodSTokk
Du scheisst es nicht zu wetzen
Testserver: @peStable (95.129.206.243:27960)
Antworten