On Mon, Jan 27, 2003 at 04:07:42PM +0200, Michelle Konzack wrote: > Hallo Christian, > > Am 11:51 2003-01-27 +0100 hat Christian Knoke geschrieben: > > >> >Ein user hat eine ganze Menge Rechte. Mann kann ja auch remote versuchen > >> >einzudringen und dann mit "su - pppstatus" eine Shell zu bekommen. Ich > >> >w�rde es nicht machen. > >> > >> und dann ? - taucht bei ihm der pppstatus Monitor auf... > > > >... und er dr�ckt <ctrl>-Z > > dafuer gibt es 'respawn' ;-))
�h? Wenn ich hier einen user anlege ohne Passwort, und in die .bash_profile einen Befehl schreibe, kann ich ihn mit ctrl-c abbrechen und lande in der shell, auch wenn dahinter ein exit steht. ctrl-z unterbricht einen job und aktiviert die im Hintergrund noch laufende Shell wieder, siehe man bash. Wenn Du in .bash_profile wenigstens "exec pppstatus" schreiben w�rdest, ginge das nicht mehr (weil die shell dann nicht mehr l�uft, siehe help exec). Ein Angreifer k�nnte immer noch versuchen, die Ausf�hrung von .bash_profile zu verhindern, und h�tte dann eine Shell. respawned wird doch erst, wenn der ganze Job (inklusive shell) endet. > >> User-Name eingeben ist nervig, denn solange pppstatus nicht gestartet > >> ist, zaehlt er keine traffic. - Sprich unbemerkter Stromausfall mit > >> reboot startet den pppstatus nicht. > > > >Hhm, warum soll pppstatus denn auf einer Console *laufen*? Der User k�nnte > >ja auch <ctrl>-C dr�cken, und die Abrechnung w�re futsch. Reicht es nicht, > >das Programm auf die Konsole *ausgeben* zu lassen? > > Nee, denn da blizt es nur einmal auf dem Monitor und dann wird > weitergeza�hlt. Keine Ahnung was "pppstatus" tut. Wenn es kontinuierlich Verbindungs- daten ausgibt (was ich aus Deiner Beschreibung herauszulesen glaubte), ist es kein Problem. Dann besteht auch kein Grund, dort einen user einzuloggen. > >> >Jetzt habe ich: > >> > > >> >6:2345:respawn:/sbin/agetty -n -l /bin/commwrap 38400 tty6 > > Frage: wo gibt es 'agetty' ??? Habe jede menge getty's auf meinem > NFS-Server gefunden (BO bis WOODY) aber kein agetty. Weiss ich nicht. Author ist Herr Venema. > >> >mit: > >> >chris@max:~> cat /bin/commwrap > >> >#!/bin/sh > >> >exec /bin/su - commterm > >> > > >> >Die Vorteile sind: es ist keine Shell mehr offen, der user commterm > hat ein > >> >gutes Passwort, und hat auch keine Shell, da ich in /etc/passwd > > Ohne shell keine Anzeige auf dem bildschirm... Nicht doch, Du kannst stdin/out jedes Programms auf eine virtuelle Konsole umlenken (z.B. /dev/tty2), Du musst nur die Rechte des device richtig setzen. Kann sein, das es mit tty1 Probleme gibt, weil es die Hauptkonsole ist, und noch f�r andere Dinge benutzt wird. Such dir ein tty?, das frei ist, deaktiviere es in inittab. > Michelle Gru� Christian -- Christian Knoke * * * http://www.enter.de/~c.knoke/ * * * * * * * * * Ceterum censeo Microsoft esse dividendum. -- H�ufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
