FreeBSD Pendant zu molly-guard

Dieses Thema im Forum "FreeBSD" wurde erstellt von schwedenmann, 30.08.2014.

  1. #1 schwedenmann, 30.08.2014
    schwedenmann

    schwedenmann Foren Gott

    Dabei seit:
    18.11.2003
    Beiträge:
    2.635
    Zustimmungen:
    2
    Ort:
    Wegberg
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 bitmuncher, 31.08.2014
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Sowas sollte sich relativ einfach selbst machen lassen, indem man entsprechende Wrapper für shutdown, reboot und (sofern vorhanden) poweroff schreibt, die erst nach einer Abfrage des Hostnamen den eigentlichen Befehl ausführen. D.h. Binaries an eine andere Stelle kopieren, stattdessen Skripte an diese Stelle legen und fertig.
     
  4. Lord_x

    Lord_x Guest

    Also diese Aussage ist mal völliger Blödsinn! Bitte nicht!

    Ein Alias sollte es auch tun:
    Code:
    alias shutdown='echo "STOP"'
    alias reboot='echo "STOP"'
    alias halt='echo "STOP"'
    
    Möchte man den Server rebooten, kann man den Alias erst löschen oder das Binary mit dem ganzen Pfad starten: "/sbin/halt".
     
  5. #4 bitmuncher, 03.09.2014
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Ich glaube kaum, dass diese Aussage Blödsinn ist.

    Damit stellst du noch immer nicht sicher, dass auch der richtige Server rebootet wird. Man kann sich dann noch immer auf dem falschen Server befinden. Und auch ein Druck auf den Power-Button wird damit nicht abgefangen, denn bei diesem wird bei den meisten Systemen der Shutdown-Befehl aufgerufen. Bei Molly-Guard geht es darum, dass man den Hostnamen eingeben muss um sicherzustellen, dass man auch wirklich den richtigen Server rebootet. Das ist mit einem Alias nunmal leider nicht machbar, auch wenn es durchaus auch mein erster Gedanke war. Btw.: Molly-Guard macht auch nichts anderes als diese Befehle zu ersetzen.

    Ausserdem hat deine Lösung ein weiteres Problem. Was ist mit 'ssh root@host shutdown...'? In dem Fall wird die Bash-Konfiguration auf den meisten Systemen gar nicht erst geladen und somit auch deine Aliases nicht. Sie sind in diesem Fall also nutzlos und der Shutdown wird einfach ausgeführt.

    Vielleicht in Zukunft einfach mit Aussagen wie "Das ist Blödsinn" etwas zurückhalten. :)
     
  6. Lord_x

    Lord_x Guest

    Dann sollte man halt einfach sein Hirn einschalten und prüfen, auf welchen Server man sich befindet. Schliesslich ist ein "reboot" mit "/sbin/reboot" dann möglich.

    Ja aber die Befehle sind nutzlos also kann man ihn nicht einfach so rebooten.

    Was hat das jetzt mit ssh zu tun?

    Man kann ja die Ausgabe des Aliases noch anpassen:
    Code:
    alias reboot='echo "ACHTUNG! Aktueller HOST lautet: $(hostname)"'
    
    Es ist eine Möglichkeit! Nicht ein Ersatz!

    Genau aber Binär Dateien ersetzten ist besser? Nach einem Update sind sie wieder da und man muss sich wieder darum kümmern! Nicht wirklich eine Lösung!
     
  7. #6 bitmuncher, 03.09.2014
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Hast du dir mal die Intension von Molly-Guard angeschaut? Ich habe das Gefühl, dass dem nicht so ist.

    Es geht aber nicht darum die Befehle nutzlos zu machen sondern sie eine zusätzliche Verifizierung ausführen zu lassen.

    Wo steht geschrieben, dass Molly-Guard nur für SSH eingesetzt wird? Historisch gesehen sollte genau dieser Druck auf den Power-Button abgefangen werden, da die Tochter Molly dadurch immer den Server abgeschaltet hat. Aus dem ursprünglichen Hardware-Schutz (Plexiglas-Klappe über den Power-Button) wurde dann eine Software-Lösung (Abfrage vor dem Ausführen des Befehls).

    Nochmal: Es geht nicht darum die Ausführung der Befehle zu verhindern sondern sie eine zusätzliche Verifizierung durchführen zu lassen, so dass man sicher ist, dass der korrekte Server/Rechner neugestartet/runtergefahren wird. Und darum, dass das Töchterchen, das den Power-Button drückt, dadurch nicht den Server abschiesst.

    Immutable-Bit heisst das Zauberwort. Am Shutdown-Programm wurden bereits sein Jahren keine Änderungen mehr vorgenommen, so dass es unwahrscheinlich ist, dass dafür nochmal Updates kommen sofern nicht irgendwas sehr grundlegendes im Kernel verändert wird. Es spricht also nichts dagegen seine Wrapper mit Immutable-Bit auszustatten. Alternativ kann man seine Wrapper auch ordentlich paketieren und nach einem Update der System-Tools auch ein Update des Wrapper-Pakets durchführen. Mit den BSD-Ports lässt sich sowas problemlos im zugehörigen Makefile verdrahten. Oder man legt seine Wrapper so ab, dass sie in $PATH vor den eigentlichen shutdown-Befehlen liegen, so wie es auch das Debian-Paket tut. Hat allerdings die gleiche Schwäche wie deine Aliases: Ändert man $PATH oder lässt die Shell-Konfiguration aus irgendeinem Grund nicht laden, greift es nicht mehr.

    Wie bereits gesagt: Die Idee mit dem Alias war auch mein erster Gedanke. Sie erfüllt aber leider nicht die Kriterien von Molly-Guard. Und hier wurde explizit nach einem "BSD Pendant zum Programm (Script) Molly-Guard" gefragt. Und wenn man das haben will, bleibt einem nichts anderes übrig als die Binaries auszutauschen. Imo kann man nur so sicherstellen, dass die Abfrage tatsächlich immer erfolgt.
     
  8. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

FreeBSD Pendant zu molly-guard

Die Seite wird geladen...

FreeBSD Pendant zu molly-guard - Ähnliche Themen

  1. FreeBSD: Statusbericht von Januar bis März

    FreeBSD: Statusbericht von Januar bis März: Das FreeBSD-Projekt hat den Statusbericht für das erste Quartal 2016 vorgelegt. In allen Teilen des Systems wurden Verbesserungen und...
  2. FreeBSD 10.3 freigegeben

    FreeBSD 10.3 freigegeben: Das FreeBSD-Projekt hat das freie BSD-Betriebssystem in Version 10.3 veröffentlicht. Wie meist bei solchen Aktualisierungen flossen dabei nur...
  3. FreeBSD: Statusbericht von Oktober bis Dezember

    FreeBSD: Statusbericht von Oktober bis Dezember: Das FreeBSD-Projekt hat den Statusbericht für das vierte Quartal 2015 vorgelegt. Unterstützt von Unternehmen wie EMC und Netflix nehmen die...
  4. Remote Desktop: AnyDesk für Linux und FreeBSD

    Remote Desktop: AnyDesk für Linux und FreeBSD: AnyDesk, eine proprietäre Remote-Desktop-Lösung, ist jetzt als Betaversion für Linux und FreeBSD erschienen. Die Software verspricht höhere...
  5. FreeBSD entwickelt Systemd-Alternative

    FreeBSD entwickelt Systemd-Alternative: Die Aktivitäten im FreeBSD-Projekt sind seit einem halben Jahr so hoch wie nie zuvor. Der jetzt vorgelegte Statusbericht für die letzten drei...