Programme mit setuid root bit oder lieber als root starten

Dieses Thema im Forum "Security Talk" wurde erstellt von sono, 06.08.2005.

  1. sono

    sono Sack Flöhe Hüter

    Dabei seit:
    31.01.2004
    Beiträge:
    1.299
    Zustimmungen:
    0
    Ort:
    http://webfrap.de
    Morgen ,

    die Überschrift sagt eigentlich schon alles.

    Mich würde mal interssieren was sicherer ist , Programme mit einem setuid root bit zu versehen um usern erweiterte rechte zu geben , oder lieber Programme die Rootrechte benötigen direkt als root zu starten.

    Es geht hier darum CDs zu brennen oder Windows shares zu mounten.

    Theoretisch sollte man doch setuid root bits vermeinden um normalen usern keine erweiterten Recht einzuräumen , bzw zu verhindern dass Sie im Falle von irgendwelchen overflow bugs root Rechte erreichen können.

    Dann wäre es doch theoretisch sinnvoll alles wozu ich root sein muss auch als root zu starten und gut , oder ?

    Oder seh ich das zu einfach und das als root starten ist noch 'gefährlicher' (jetzt im falle von netzwerkdiensten und zugriffen auf servern) als die setuid root bits ?

    Gruß Sono
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. CMW

    CMW Hä ?!

    Dabei seit:
    24.07.2004
    Beiträge:
    517
    Zustimmungen:
    0
    Wenn die Freigaben über mount eingebunden werden sollen müsstest Du dies über die fstab erlauben können. Und Root-Rechte zum Brennen von CD's? Wenn es daran scheitert, dass das Brennprogramm direkten zugriff auf das Laufwerk braucht würde ich lieber die Rechte mit chmod anpassen als das Brennprogramm als Root zu starten.
     
  4. sono

    sono Sack Flöhe Hüter

    Dabei seit:
    31.01.2004
    Beiträge:
    1.299
    Zustimmungen:
    0
    Ort:
    http://webfrap.de
    Ist klar , aber ich will nicht 20 Einträge in die fstab drücken nur um auf ner Lan saugen zu können.

    Für daheim wäre es kein Problem das so zu machen aber ich will das lieber machen können ohne was in die fstab zu schreiben.
    Ich muss öfters mal auf fremde windowshares zugreifen und da kommt das nicht so professionell wenn ich jedesmal wenn ich eine nue share mounten will erst mal die fstab editiere.

    Ok mounten müsste ich Sie eigentlich nicht könnt auch direkt ohne mounten drauf zugreifen.

    Meine Frage war allerdings nicht wie ich das alles lösen kann , sondern was ist sicherer Setuid Root bits oder das starten eines Programmes als Root .
    Dat is mehr so ne 'Grundsatzfrage' smb4k und kb3 sollten nur Beispiele sein.

    Trotzdem danke für deine Antwort .

    Gruß Sono
     
  5. tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Sali Sono

    Am meisten erreichst du wohl mit sauber definierten sudo-Berechtigungen! Zudem kannst du dann auch aufzeichnen, wer was wann wie gestartet hat.

    Wie das mit KDE zu realisieren ist kann ich jedoch nicht beantworten.

    Gruss
    Joel
     
  6. #5 Wolfgang, 07.08.2005
    Wolfgang

    Wolfgang Foren Gott

    Dabei seit:
    24.04.2005
    Beiträge:
    3.978
    Zustimmungen:
    0
    Ort:
    Erfurt
    Hallo
    Die Alternative dazu ist eine brennergruppe einzurichten, und dieser die eintsprechenden Rechte zu geben.
    Ein SUID ist immer ein größeres Risiko, besonders wenn es um Server geht.
    Wo immer möglich ist das zu vermeiden, und statt dessen lieber auf sudo oder notfalls eben auch Gruppen auszuweichen, die die Rechte haben.
    Die Kombination aus Gruppenrechten und sudo ist IMHO das Beste in deinem Beispiel.
    man sudo gibt dazu gute Beispiele.
    Gruß Wolfgang
     
  7. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  8. sono

    sono Sack Flöhe Hüter

    Dabei seit:
    31.01.2004
    Beiträge:
    1.299
    Zustimmungen:
    0
    Ort:
    http://webfrap.de
    Alles klar.

    Dann werde ich das mal so umsetzen.

    Thx

    Gruß SOno
     
  9. #7 Gummibear, 08.08.2005
    Gummibear

    Gummibear Computerversteher

    Dabei seit:
    19.07.2005
    Beiträge:
    100
    Zustimmungen:
    0
    Ort:
    Schweiz
    SUID hat ein Problem -> Wenn ein User ein Programm startet und das eine nicht gewuenschte Funktion hat (Buffer Overflow!!!), dann laeuft genau diese ungewollte Funktion unter root.

    Das ist der Grund, warum auf SUID weitestgehendst verzichtet werden sollte. Wie gesagt: Zum CD Brennen koennen Berechtigungen angepasst werden, zum mounten kann schnell auf den root-account gewechselt werden und fuer viele andere Dinge, kann sudo verwendet werden.
     
Thema:

Programme mit setuid root bit oder lieber als root starten

Die Seite wird geladen...

Programme mit setuid root bit oder lieber als root starten - Ähnliche Themen

  1. Centos Update von Programmen / Configs

    Centos Update von Programmen / Configs: Hallo, überlege mir gerade ob ich auf Centos umsteigen soll. Bei Centos gibt es ja viele Jahre Update für eine Version. Wie ist es aber nach...
  2. portable Windows-Programme in Wine nutzen

    portable Windows-Programme in Wine nutzen: Hallo, ich bin gerade an der mühlseligen Umstellung meiner Windows-Programm-Sammlung auf Linux. Für viele kleine Tools (speziell aus dem...
  3. Liste der installierten Programme erstellen, aber von extern, ohne chroot ?

    Liste der installierten Programme erstellen, aber von extern, ohne chroot ?: Hallo Gibt es eine Möglichkeit, die installierten Programme z.B. bei Debian, Archlinux in eine eine Liste zu schreiben, ohne angemeldet zu...
  4. Zwei neue Backup-Programme für Linux

    Zwei neue Backup-Programme für Linux: Fast gleichzeitig haben zwei Backup-Programme die Verfügbarkeit der ersten produktiven Version angekündigt. Weiterlesen...
  5. Lokale GUI-Programme mit php-cgi starten

    Lokale GUI-Programme mit php-cgi starten: Hallo zusammen, nach dem Studium des Internets ist es mir gelungen Bash-Skripte mit php-cgi zu starten. Im Nachhinein betrachtet ist es gar nicht...