PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Bash script security



Monte_Cristo
22.03.2005, 14:04
Habe mal en Tread und Security gepostet und nicht under Basch-scripting. Dachte passt besser hier.

[Frage:]
Gibt es eine Source im I-net, oder ein How-to :rtfm: das sich mit der sicherheit von Bash scripting beschäftig im bereich von Web-servern???

Kann da jemand etwas grad so spontan was aus dem ärmel schütteln??? :))
[/Frage:]

Ich denke besonders gefährlich ist hier, das die benutzereingaben mittels variabeln direkt an die Bash übergebeh werden. nicht das mir da jemand ein rm - rf eintippt und es ausgeführt wirt :D

Zero
22.03.2005, 15:12
sofern derjenige keine schreibrechte hat, kann er doch gerne mit rm -rf rumspielen, oder?

Monte_Cristo
22.03.2005, 15:34
das scritp lauft ja under dem benutzer des apache (www) da die variablen später in ein anderes file geschrieben werden sind schreibrechte nötig....

Riesenzwerg
23.03.2005, 15:01
Es sei denn, man operiert direkt als Apache... wenn man Glück hat könnte der Apache doch mit CHMOD777/root laufen, oder?

Je nachdem wie gut der jeweilie Admin ist könnte das klappen, gibt genug Affen die unter Root arbeiten. Weiß aber nicht OB DAS WIRKLICH GEHT. War nur so ne Vermutung...

tr0nix
28.03.2005, 23:23
Hallo Monte

Sorry bin n'bisserl spät, aber hatte in letzter Zeit viel zu tun. Aber bin wieder da! ;)

Kannst du ein wenig spezifizieren, was du genau vorhast? Das Shellscript muss du auf jedenfall so schreiben, als ob es jeder nutzen dürfte und von da her wirklich alles checken! Im letzten Linux Magazin (nicht aktuellen) findest du über Shellscripting für Administratoren ein Bericht darüber!

Gruss
Joel

Monte_Cristo
29.03.2005, 09:05
Hi Joel

Also das ganze sieht grob erklährt etwa so aus:

Ziel ist eine Router konfiguration per web-frontend. Die nutzereingaben werden nach dem senden mittels CGI der Bash übergeben. und genau da liegt die gefahr. zum einen dürfen keine unzulässigen werte stehen und zum andern müssen string länge überprüft werden (buffer overflows).

Gibts sicherheitstechnisch noch etwas was ich übersehen hätte?


Im letzten Linux Magazin (nicht aktuellen) findest du über Shellscripting für Administratoren ein Bericht darüber!

meinstu du die artikel Umweltverschmutzung und Wurzelbehandlung? Diese wurden mir bereits ans herz gelegt.

gruss

Monte_Cristo

tr0nix
29.03.2005, 09:48
Wurzelbehandlung ist glaubs aktuell bezieht sich allerdings auf C Programme soweit ich das noch in Erinnerung habe.

Hm, wenn du eine Routerkonfiguration machst, hast du den Webserver sicher nicht unter root laufen oder arbeitest du mit sudo?

Auf jedenfall musst du paranoid bleiben, mit PHP als Frontendsprache für die Scripte hättest du möglicherweise weniger Probleme.