Stefan Schwarzer <[email protected]> wrote: > - Was passiert, wenn jemand eine Eingabezeile von einigen GB > schickt? Ich vermute mal, das würde auf einen DoS > hinauslaufen.
Danke, das ist ein guter Einwand. Wenn man nur einen DoS-Angriff auf das Restsystem (und nicht auf dieses Programm) verhindern will, dann müßte man das eigentlich mit einem Speicherlimit ulimit o.ä. zumindest mildern können. Danke! > - Man kann das mit dem Chroot noch weiter treiben und den > Shell-Prozess in einen Podman- oder Docker-Container oder eine > VM einsperren. Auf der anderen Seite beziehungsweise > zusätzlich kannst du die Rechte des Users möglichst weitgehend > einschränken durch entsprechende Wahl der User-Id, Gruppen und > gegebenenfalls SELinux/AppArmor-Policy. Ja, danke, ich muß mir ansehen was davon Debian näher steht, ich vermute AppArmor (das kenn ich auch von Ubuntu). > - Laut https://docs.python.org/3/library/cmd.html verwendet das > Modul für die Verarbeitungen der Eingabezeile die > readline-Bibliothek. Je nachdem, welche > Konfigurations-Einstellungen (z. B. in der `.inputrc` oder per > Default) gelten, könnte das die Angriffsfläche vergrößern. > > Konkret ist mir gerade dieser Absatz aus der Doku aufgefallen: > > > If the readline module is loaded, input will automatically > > inherit bash-like history-list editing (e.g. Control-P > > scrolls back to the last command, Control-N forward to the > > next one, Control-F moves the cursor to the right > > non-destructively, Control-B moves the cursor to the left > > non-destructively, etc.). > > Das heißt, wenn sich mehrere Nutzer einen Account teilen, > verstehe ich das so, dass sie die History anderer Nutzer sehen > können. Keine Ahnung, ob das für deine Anwendung ein Problem ist. Danke, das muß ich mir ansehen. > - Ob du den Ansatz mit der `cmd`-Shell trotz dieser > Randbedingungen verfolgen willst, hängt davon ab, welche > Angriffs-Szenarien du siehst und was die möglichen Folgen > wären. Sagen wir so, ich will keine Atomkraftwerke damit fernsteuern, eher für harmlose IoT-Spielereien. Danke für deine ausführlichen Anmerkungen, ich muss das erst mal sacken lassen und Sachen ausprobieren (z.b. das gleichzeitig 2x einloggen). /ralph _______________________________________________ python-de Mailingliste -- [email protected] Zur Abmeldung von dieser Mailingliste senden Sie eine Nachricht an [email protected] https://mail.python.org/mailman3/lists/python-de.python.org/ Mitgliedsadresse: [email protected]
