Kommentare zu: Got root? http://blog.jonaspasche.com/2013/04/29/got-root/ Technik, Kram und Drumherum Wed, 30 Dec 2015 21:32:06 +0000 hourly 1 https://wordpress.org/?v=4.4.14 Von: mifritscher http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-73589 Sun, 20 Jul 2014 00:01:13 +0000 http://blog.jonaspasche.com/?p=1354#comment-73589 jep, das mit den capabilities ist mir auch in den Sinn bekommen.
Zur 2 Faktor Authentifizierung: naja, ist beim Onlinebanking mittlerweile gängig, vermutlich verstehen es deswegen mehr ;)
Zum sudo: Ich verwende es gerade auf Servern, wo mehrere Leute parallel dran arbeiten, recht gerne. Das hat neben dem Loggen, wer wann dran war, u.a. den Vorteil, dass jeder „seine“ Umgebung entsprechend einrichten kann (Shell, Editor, aliase etc.)
Ja, dass dann manche Distros trotzdem nach einem root-Passwort fragen, wenn beim starten an einer bestimmten Stelle was schief ging (meist wenn / zumindest noch ro mountbar war, aber andere Partitionen nicht mehr, oder Fehler in der fstab) ist blöde, aber sehr einfach zu umgehen: Beim Grub ein init=/bin/(ba)sh reinhauen ;-) Hat sogar den Vorteil, dass dann noch weniger läuft, und in solchen Situationen will man keine Prozesse, die „irgendwas“ machen.

]]>
Von: nonchip http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-34492 Fri, 06 Dec 2013 19:54:50 +0000 http://blog.jonaspasche.com/?p=1354#comment-34492 gegen das Problem mit privileged ports hilft übrigens ab 2.6.x der Befehl „setcap ‚cap_net_bind_service=+ep‘ /pfad/zum/dienst“

]]>
Von: Sebastian http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-22890 Wed, 31 Jul 2013 12:54:35 +0000 http://blog.jonaspasche.com/?p=1354#comment-22890 Eventuell kannst ja die Überlegungen als Konzept an OVH verkaufen. Die sind augenscheinlich auf der Suche nach neuen Ideen ;)

]]>
Von: peter http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-18856 Wed, 19 Jun 2013 08:00:42 +0000 http://blog.jonaspasche.com/?p=1354#comment-18856 Zitat: „Sollte einer von uns gehen oder einer der SSH-PrivateKeys kompromitiert werden, müssen wir den PublicKey auf allen von uns administrierten Servern austauschen bzw. entfernen.“

Schon mal mit http://www.sshark.org/ beschäftigt?
https://www.youtube.com/watch?v=aXLz9YQm0-k&t=1h27m23s

So ganz verstehe ich das System auch noch nicht, jedoch sollen mit sshark auf die schnelle Puplic Keys global widerrufen werden können.

]]>
Von: marcel http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-15486 Wed, 08 May 2013 08:11:44 +0000 http://blog.jonaspasche.com/?p=1354#comment-15486 Was das binden auf Privileged Ports auf nicht-Kinderunixen (scnr) angeht:

FreeBSD: sysctl net.inet.ip.portrange.reservedhigh=0

Solaris: hier kann man es granularer an einer Benutzerrolle erlauben: /usr/sbin/usermod -K defaultpriv=basic,net_privaddr

auf Linux geht das nur mit SELinux und „cap_net_bind_service=+ep“ für den Prozess…

]]>
Von: Chris http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-15221 Fri, 03 May 2013 14:06:04 +0000 http://blog.jonaspasche.com/?p=1354#comment-15221 Ich muss euch grundsätzlich zustimmen. Ich komme selbst aus dem Bereich IT-Consulting, speziell Sicherheit und Netzwerk, und habe ähnliche Erfahrungen gemacht. Auch haben wir das in den Firmen wo ich bisher als Consultant tätig war weitgehend so gemacht. Es ist alles eine Frage des Vertrauens und der Machbarkeit. Bei den Kunden, wo es nur namentliche Zugänge gab, wurden auch diese in einer gemeinschaftlichen Liste festgehalten. Teilweise gab es dann einfach nur noch ein Passwort für su, ansonsten halt sudo. Allerdings habe ich nie (!) erlebt, dass die Logfiles sicher gewesen wären bzw. das diese nicht hätten manipuliert werden können. Das gilt zwar nur für Systeme, die wir / ich nicht gebaut hatten, ist aber bei einer derartigen Policy schon „verrückt“. Allerdings gab es in einer Firma schon die Abstufung, dass nicht jeder auf alles Zugriff hatte. Ob das mehr Vor- als Nachteile hat, ist in meinen Augen aber fraglich für den speziellen Einzelfall.

Also grundsätzlich sollte in jeder SSHD Konfiguration der Punkt
> PermitRootLogin without-password
so enthalten sein. Wobei ich so oder so dazu tendiere, dass ich jegliche Passwortauthentifizierung abschalte und nur Keys zulasse. Ansonsten versuche ich bei Menschen, die das nicht verstehen, zumindest ein 2 Faktor System einzusetzen. Erstaunlicherweise kapieren das einige besser als die Keys.. Muss man nicht verstehen ;)

]]>
Von: Christopher Hirschmann http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-15017 Tue, 30 Apr 2013 12:55:28 +0000 http://blog.jonaspasche.com/?p=1354#comment-15017 Also gegen SELinux spricht m.E., dass es SELinux ist, also ein nur bei Red Hat überhaupt eingesetzter, komplexer Exot.
Darüber hinaus kann SELinux das Port-Problem nicht zufriedenstellend lösen, das haben wir schon versucht.

]]>
Von: Christopher Hirschmann http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-15016 Tue, 30 Apr 2013 12:50:04 +0000 http://blog.jonaspasche.com/?p=1354#comment-15016 Nachvollziehbarkeit dessen was überhaupt getan wurde erreichen wir mit einer endlosen Bash-History: http://blog.jonaspasche.com/2012/10/02/die-annalen-der-bash-geschichte/
Wer das gewesen sein könnte, wäre unter Umständen an Logs abzulesen, die aber jemand mit Root-Zugriff natürlich manipulieren könnte, genauso wie jemand mit unbeschränkten sudo-Rechten. Remote Syslog könnte das ein bißchen lindern. So oder so: So genau müssen wir bisher nicht protokollieren.

]]>
Von: Finkregh http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-15005 Tue, 30 Apr 2013 07:54:17 +0000 http://blog.jonaspasche.com/?p=1354#comment-15005 Danke für den Post :-)

> Hier fehlt es Linux (genauso wie allen anderen mir bekannten unixoiden Betriebssystemen) an einer vernünftigen Lösung.

Was spricht da gegen Mechanismen wir SELinux?

]]>
Von: Nizagam http://blog.jonaspasche.com/2013/04/29/got-root/comment-page-1/#comment-14977 Mon, 29 Apr 2013 21:29:28 +0000 http://blog.jonaspasche.com/?p=1354#comment-14977 Geschmack ist ja bekanntlich unterschiedlich. Ein Punkt fehlt mir in den Überlegungen jedoch, wie ist es um die Nachvollziehbarkeit gestellt? Woher weiß man wer wann welche Befehle abgesetzt hat? Oder wird das nie benötigt in eurem Umfeld?

]]>