On Wed, 02 Oct 2002 16:31:12 +0200, Guido Hennecke wrote: > > guido 380 0.0 0.6 5696 264 ? S Sep26 1:45 /usr/sbin/sshd > > Beantwortet das deine Frage?
Tja, du bist halt noch nicht root. Du scheinst stolz darauf zu sein, da� ein Teil der ssh bei dir als guido l�uft. Du scheinst speziell auf Fall hinaus zu wollen, in dem der Teil der ssh gehackt wird, der bei dir als guido und sonst als root l�uft. Sch�n, dann ist der Angreifer eben erstmal nur maximal guido statt gleich root. In <woNU3.A.G6B.HUEn9@murphy> schreibst du aber sehr zutreffend: > Ein anderer Systemuser (root ausgenommen) kann mir sowas auch nicht > unterschieben und wenn die Programme auf meinem System bereits > kompromitiert sind, hat root das selbe Problem. Nun ist eben jemand da, der dir was unterschieben kann. ER (der Angreifer), der mit deiner Variante nicht gleich root wird, sondern nur guido, kompromittiert die Umgebung von guido nach belieben. Wenn du dich beim n�chten mal anmeldest, wirst du einem anderem su das Passwort geben, als du eigentlich wolltest. Oder willst du ernsthaft behaupten, da� du bei JEDEM login erstmal $PATH und 1000 andere Dinge des Accounts guido pr�fst, bevor du su sagst? Das nimmt dir keiner ab. Fazit: Wenn der account gefallen ist, von dem aus du regelm��ig su sagst, ist damit auch der root-account selbst gefallen. Ich sehe somit auch hier keinerlei Vorteile durch den Umweg �ber einen normalen Nutzer, im Gegenteil: Bei deiner Variante kommen noch alle Unsicherheitsfaktoren dazu, die sowieso mit dem account guido verbunden sind. Du hast mit deinem Umweg �ber den normalen Nutzer lediglich die Anforderungen an den Angreifer herabgesetzt. Statt "root" zu werden, mu� der Angreifer nur noch "root oder guido" werden, weil aus guido mehr oder weniger direkt "root" folgt. Wenig sinnvoll, stimmts? Reinhard -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
