Programme mit setuid root bit oder lieber als root starten

sono

sono

Sack Flöhe Hüter
Morgen ,

die Überschrift sagt eigentlich schon alles.

Mich würde mal interssieren was sicherer ist , Programme mit einem setuid root bit zu versehen um usern erweiterte rechte zu geben , oder lieber Programme die Rootrechte benötigen direkt als root zu starten.

Es geht hier darum CDs zu brennen oder Windows shares zu mounten.

Theoretisch sollte man doch setuid root bits vermeinden um normalen usern keine erweiterten Recht einzuräumen , bzw zu verhindern dass Sie im Falle von irgendwelchen overflow bugs root Rechte erreichen können.

Dann wäre es doch theoretisch sinnvoll alles wozu ich root sein muss auch als root zu starten und gut , oder ?

Oder seh ich das zu einfach und das als root starten ist noch 'gefährlicher' (jetzt im falle von netzwerkdiensten und zugriffen auf servern) als die setuid root bits ?

Gruß Sono
 
sono schrieb:
Morgen ,

die Überschrift sagt eigentlich schon alles.

Mich würde mal interssieren was sicherer ist , Programme mit einem setuid root bit zu versehen um usern erweiterte rechte zu geben , oder lieber Programme die Rootrechte benötigen direkt als root zu starten.

Es geht hier darum CDs zu brennen oder Windows shares zu mounten.

Theoretisch sollte man doch setuid root bits vermeinden um normalen usern keine erweiterten Recht einzuräumen , bzw zu verhindern dass Sie im Falle von irgendwelchen overflow bugs root Rechte erreichen können.

Dann wäre es doch theoretisch sinnvoll alles wozu ich root sein muss auch als root zu starten und gut , oder ?

Oder seh ich das zu einfach und das als root starten ist noch 'gefährlicher' (jetzt im falle von netzwerkdiensten und zugriffen auf servern) als die setuid root bits ?

Gruß Sono

Wenn die Freigaben über mount eingebunden werden sollen müsstest Du dies über die fstab erlauben können. Und Root-Rechte zum Brennen von CD's? Wenn es daran scheitert, dass das Brennprogramm direkten zugriff auf das Laufwerk braucht würde ich lieber die Rechte mit chmod anpassen als das Brennprogramm als Root zu starten.
 
Wenn die Freigaben über mount eingebunden werden sollen müsstest Du dies über die fstab erlauben können.

Ist klar , aber ich will nicht 20 Einträge in die fstab drücken nur um auf ner Lan saugen zu können.

Für daheim wäre es kein Problem das so zu machen aber ich will das lieber machen können ohne was in die fstab zu schreiben.
Ich muss öfters mal auf fremde windowshares zugreifen und da kommt das nicht so professionell wenn ich jedesmal wenn ich eine nue share mounten will erst mal die fstab editiere.

Ok mounten müsste ich Sie eigentlich nicht könnt auch direkt ohne mounten drauf zugreifen.

Meine Frage war allerdings nicht wie ich das alles lösen kann , sondern was ist sicherer Setuid Root bits oder das starten eines Programmes als Root .
Dat is mehr so ne 'Grundsatzfrage' smb4k und kb3 sollten nur Beispiele sein.

Trotzdem danke für deine Antwort .

Gruß Sono
 
Sali Sono

Am meisten erreichst du wohl mit sauber definierten sudo-Berechtigungen! Zudem kannst du dann auch aufzeichnen, wer was wann wie gestartet hat.

Wie das mit KDE zu realisieren ist kann ich jedoch nicht beantworten.

Gruss
Joel
 
Hallo
Die Alternative dazu ist eine brennergruppe einzurichten, und dieser die eintsprechenden Rechte zu geben.
Ein SUID ist immer ein größeres Risiko, besonders wenn es um Server geht.
Wo immer möglich ist das zu vermeiden, und statt dessen lieber auf sudo oder notfalls eben auch Gruppen auszuweichen, die die Rechte haben.
Die Kombination aus Gruppenrechten und sudo ist IMHO das Beste in deinem Beispiel.
man sudo gibt dazu gute Beispiele.
Gruß Wolfgang
 
Alles klar.

Dann werde ich das mal so umsetzen.

Thx

Gruß SOno
 
SUID hat ein Problem -> Wenn ein User ein Programm startet und das eine nicht gewuenschte Funktion hat (Buffer Overflow!!!), dann laeuft genau diese ungewollte Funktion unter root.

Das ist der Grund, warum auf SUID weitestgehendst verzichtet werden sollte. Wie gesagt: Zum CD Brennen koennen Berechtigungen angepasst werden, zum mounten kann schnell auf den root-account gewechselt werden und fuer viele andere Dinge, kann sudo verwendet werden.
 
Zurück
Oben