Re: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Christian Schmidt 
Hallo Tauber,,

Tauber, Mathias  HDP, 27.11.2003 (d.m.y):

> ich betreue diverse Debian 3.0r2 Server und
> habe auch die Aufgabe, diese nach bestem Wissen
> und Gewissen abzusichern (wie so manch anderer
> hier ;O).
> 
> Ich habe mal gelesen, dass es sinnvoll ist
> diverse Teile des Dateisystems auf separate
> Partitionen zu packen (siehe OpenBSD Dokus).
[..] 
> Ich erinnere mich gelesen zu haben, dass man
> nach einer solche Aufteilung diverse Partitionen
> z.B. als Read-Only mounten kann.

Ja, bei /usr kann das evtl. Sinn machen.

> Ich erinnere
> mich auch wage an sowas wie no-suid, bin mir
> hier aber nicht mehr ganz sicher.

Vielleicht hilft  Dir beim Auffrischen Deines
Gedaechtnisses...

> Wenn man solche Restriktionen benutzt, macht
> das hier wahrscheinlich auch keinen Sinn mehr:
> 
> <--schnip-->
> server01:~# ls -lah /bin/mount
> -rwsr-xr-x1 root root  71k Dec 24  2002 /bin/mount
> <--schnap-->
> 
> Wäre hier nicht ein 'chmod 700 /bin/mount'
> angebracht?

Wenn Du nur noch root das Mounten von Medien gestatten willst, ja.

Gruss,
Christian
-- 
Wie man sein Kind nicht nennen sollte: 
  Melita Kaffee 


pgp0.pgp
Description: PGP signature

Re: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Michelle Konzack 
Am 2003-11-27 16:32:27, schrieb Tauber, Mathias  HDP:
>Servus,

Hi, 

>ich betreue diverse Debian 3.0r2 Server und
>habe auch die Aufgabe, diese nach bestem Wissen
>und Gewissen abzusichern (wie so manch anderer
>hier ;O).
>
>Ich habe mal gelesen, dass es sinnvoll ist
>diverse Teile des Dateisystems auf separate
>Partitionen zu packen (siehe OpenBSD Dokus).

Hallo, 

ich bevorzuge folgende Aufteilung:

/dev/hda1   /   ext3errors=remount-ro   0   1
/dev/hda2   noneswapsw  0   0
proc/proc   procdefaults0   0
# Kann einem schon mal das System zusammenfressen
/dev/hda3   /tmpext3defaults0   2
/dev/hda5   /usrext3defaults0   2
/dev/hda6   /varext3defaults0   2
# Der Killer auf einem Server schlechthin
/dev/hda7   /var/logext3defaults0   2
/dev/hda8   /home   ext3defaults0   2

>Gruß
>Mathias

Grüße
Michelle

-- 
Registered Linux-User #280138 with the Linux Counter, http://counter.li.org.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Tauber, Mathias HDP 
> > On Fri, 28 Nov 2003 11:39:39 +0100, Andreas Janssen
> > <[EMAIL PROTECTED]> wrote:
> >>Das suid-Bit ist dazu da, es Benutzern zu ermöglichen, mount so
> >>aufzurufen, daß es mit Besitzer- (also Root-)Rechten läuft, 
> auch wenn
> >>der aufrufende Benutzer nicht Root ist.
> > 
> > Das ist die Grundlage dafür, dass die fstab-Option "user"
> > funktioniert.
> > 
> >>Wenn Du Deinen Benutzern nicht
> >>erlauben willst, mount auszuführen, dann brauchst Du auch 
> das suid-Bit
> >>nicht.
> > 
> > Das bedeutet aber auch: CDROM und USB-Sticks mounten iss' nicht, und
> > Floppy nur per mtools.
> 
> Für Root wäre es immer noch möglich. Außerdem könnte man den 
> Kernel mit
> Supermount patchen oder den Automount-Dämon laufen lassen und
> entsprechend einrichten, dann könnten auch normale Benutzer auf
> Wechselmedien zugreifen. Wobei ich durchaus den Eindruck habe, daß es
> Mathias' Ziel war, Benutzer wirklich gar nichts mehr mounten 
> zu lassen.

Sorry,

habe meine Absicht eventuell nicht genug betont.

Ich möchte, dass niemand außer root irgendwas noch Mounten kann.
Eventuell sogar nichtmal root, wenn das möglich ist.

Gruß
Mathias



--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Tauber, Mathias HDP 
> Und der korrekte Weg das umzustellen, sodass es bei Upgrades erhalten
> bleibt, ist mit
> dpkg-statoverride --update --add root root 0700 /bin/mount

Danke für Eure Tips,

der hier ist ja obergenial. Kannte die Funktion noch
nicht, aber wir sind ja zum Glück noch lernfähig...

Gruß
Mathias


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Andreas Janssen 
Hallo

Marc Haber (<[EMAIL PROTECTED]>) wrote:

> On Fri, 28 Nov 2003 11:39:39 +0100, Andreas Janssen
> <[EMAIL PROTECTED]> wrote:
>>Das suid-Bit ist dazu da, es Benutzern zu ermöglichen, mount so
>>aufzurufen, daß es mit Besitzer- (also Root-)Rechten läuft, auch wenn
>>der aufrufende Benutzer nicht Root ist.
> 
> Das ist die Grundlage dafür, dass die fstab-Option "user"
> funktioniert.
> 
>>Wenn Du Deinen Benutzern nicht
>>erlauben willst, mount auszuführen, dann brauchst Du auch das suid-Bit
>>nicht.
> 
> Das bedeutet aber auch: CDROM und USB-Sticks mounten iss' nicht, und
> Floppy nur per mtools.

Für Root wäre es immer noch möglich. Außerdem könnte man den Kernel mit
Supermount patchen oder den Automount-Dämon laufen lassen und
entsprechend einrichten, dann könnten auch normale Benutzer auf
Wechselmedien zugreifen. Wobei ich durchaus den Eindruck habe, daß es
Mathias' Ziel war, Benutzer wirklich gar nichts mehr mounten zu lassen.

Grüße
Andreas Janssen

-- 
Andreas Janssen
[EMAIL PROTECTED]
PGP-Key-ID: 0xDC801674
Registered Linux User #267976


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Andreas Metzler 
Andreas Janssen <[EMAIL PROTECTED]> wrote:
> Tauber, Mathias  HDP (<[EMAIL PROTECTED]>) wrote:
[...]
>> Ist ein 'chmod 700 /bin/mount' sinnvoll, oder brauch ich
>> das suid-bit noch?

> Das suid-Bit ist dazu da, es Benutzern zu ermöglichen, mount so
> aufzurufen, daß es mit Besitzer- (also Root-)Rechten läuft, auch wenn
> der aufrufende Benutzer nicht Root ist. Wenn Du Deinen Benutzern nicht
> erlauben willst, mount auszuführen, dann brauchst Du auch das suid-Bit
> nicht.

Und der korrekte Weg das umzustellen, sodass es bei Upgrades erhalten
bleibt, ist mit
dpkg-statoverride --update --add root root 0700 /bin/mount
cu andreas


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Marc Haber 
On Fri, 28 Nov 2003 11:39:39 +0100, Andreas Janssen
<[EMAIL PROTECTED]> wrote:
>Das suid-Bit ist dazu da, es Benutzern zu ermöglichen, mount so
>aufzurufen, daß es mit Besitzer- (also Root-)Rechten läuft, auch wenn
>der aufrufende Benutzer nicht Root ist.

Das ist die Grundlage dafür, dass die fstab-Option "user"
funktioniert.

>Wenn Du Deinen Benutzern nicht
>erlauben willst, mount auszuführen, dann brauchst Du auch das suid-Bit
>nicht.

Das bedeutet aber auch: CDROM und USB-Sticks mounten iss' nicht, und
Floppy nur per mtools.

Grüße
Marc

-- 
-- !! No courtesy copies, please !! -
Marc Haber  |   " Questions are the | Mailadresse im Header
Karlsruhe, Germany  | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature  | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Andreas Janssen 
Hallo

Tauber, Mathias  HDP (<[EMAIL PROTECTED]>) wrote:

> Danke für die Tips schonmal,
> 
> eine Frage noch dazu:
> 
> Ist ein 'chmod 700 /bin/mount' sinnvoll, oder brauch ich
> das suid-bit noch?

Das suid-Bit ist dazu da, es Benutzern zu ermöglichen, mount so
aufzurufen, daß es mit Besitzer- (also Root-)Rechten läuft, auch wenn
der aufrufende Benutzer nicht Root ist. Wenn Du Deinen Benutzern nicht
erlauben willst, mount auszuführen, dann brauchst Du auch das suid-Bit
nicht.

Grüße
Andreas Janssen

-- 
Andreas Janssen
[EMAIL PROTECTED]
PGP-Key-ID: 0xDC801674
Registered Linux User #267976


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

RE: Kann man Partitionen sicherer Mounten?

2003-11-28 Diskussionsfäden Tauber, Mathias HDP 
> > Wenn man solche Restriktionen benutzt, macht
> > das hier wahrscheinlich auch keinen Sinn mehr:
> > 
> > <--schnip-->
> > server01:~# ls -lah /bin/mount
> > -rwsr-xr-x1 root root  71k Dec 24  2002 /bin/mount
> > <--schnap-->
> > 
> > Wäre hier nicht ein 'chmod 700 /bin/mount'
> > angebracht?
> 
> Normalerweise akzeptiert mount ohnehin Aufrufe von Benutzern nur dann,
> wenn das Dateisystem mit der Option "user" in /etc/fstab eingetragen
> ist, und auch dann kann der Benutzer soweit ich weiß die Optionen für
> das Dateisystem aus der fstab nicht übergehen. Damit sollte 
> es normalen
> Benutzern nicht möglich sein, etwas an den Dateisystemeinstllungen zu
> drehen, es sei denn, mount hätte eine Sicherheitslücke. Aber wenn
> ohnehin auf Deinen Rechnern keine normalen Benutzer Dateisysteme
> mounten können sollen, dann schadet es auch nichts, die Rechte
> restriktiver zu setzen.

Danke für die Tips schonmal,

eine Frage noch dazu:

Ist ein 'chmod 700 /bin/mount' sinnvoll, oder brauch ich
das suid-bit noch?

Gruß
Mathias


--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Kann man Partitionen sicherer Mounten?

2003-11-27 Diskussionsfäden Andreas Söldner 
Am Do, 2003-11-27 um 18.07 schrieb Florian Ernst:
> Hallo Mathias!
> Schau Dir mal das 'Securing Debian Manual' an unter
> http://www.de.debian.org/doc/user-manuals#securing
> 
Das "Buch" kannte ich noch nicht. Ist ja super. Morgen gleich mal meinen
alten P1 133 Router "abprüfen" :-)
Gruß
Andreas


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Kann man Partitionen sicherer Mounten?

2003-11-27 Diskussionsfäden Andreas Janssen 
Hallo

Tauber, Mathias  HDP (<[EMAIL PROTECTED]>) wrote:

> ich betreue diverse Debian 3.0r2 Server und
> habe auch die Aufgabe, diese nach bestem Wissen
> und Gewissen abzusichern (wie so manch anderer
> hier ;O).
> 
> Ich habe mal gelesen, dass es sinnvoll ist
> diverse Teile des Dateisystems auf separate
> Partitionen zu packen (siehe OpenBSD Dokus).
> 
> Ich benutze die Standardvorgaben bei der
> Debianinstallation, daher sieht dann meine
> /etc/fstab folgendermaßen aus:

> /boot,/home,/usr,/var mit defaults eingehängt

> Ich erinnere mich gelesen zu haben, dass man
> nach einer solche Aufteilung diverse Partitionen
> z.B. als Read-Only mounten kann. Ich erinnere
> mich auch wage an sowas wie no-suid, bin mir
> hier aber nicht mehr ganz sicher.

Ja das geht. Read-Only ist zum Beispiel für /boot oder /usr sinnvoll,
damit dürfte sich die Wahrscheinlichkeit verringern, daß das
Dateisystem kapputt geht oder etwas aus Versehen was gelöscht wird.
Mehr Informationen darüber, auch dazu, wie Du apt beibringst, die
Partitionen bei Paketinstallationen vorübergehend wieder rw einzuhängen
und eine Menge mehr findest Du im Securing Debian Howto, Paket
harden-doc oder auf der Debian-Homepage.

> Wenn man solche Restriktionen benutzt, macht
> das hier wahrscheinlich auch keinen Sinn mehr:
> 
> <--schnip-->
> server01:~# ls -lah /bin/mount
> -rwsr-xr-x1 root root  71k Dec 24  2002 /bin/mount
> <--schnap-->
> 
> Wäre hier nicht ein 'chmod 700 /bin/mount'
> angebracht?

Normalerweise akzeptiert mount ohnehin Aufrufe von Benutzern nur dann,
wenn das Dateisystem mit der Option "user" in /etc/fstab eingetragen
ist, und auch dann kann der Benutzer soweit ich weiß die Optionen für
das Dateisystem aus der fstab nicht übergehen. Damit sollte es normalen
Benutzern nicht möglich sein, etwas an den Dateisystemeinstllungen zu
drehen, es sei denn, mount hätte eine Sicherheitslücke. Aber wenn
ohnehin auf Deinen Rechnern keine normalen Benutzer Dateisysteme
mounten können sollen, dann schadet es auch nichts, die Rechte
restriktiver zu setzen.

Grüße
Andreas Janssen

-- 
Andreas Janssen
[EMAIL PROTECTED]
PGP-Key-ID: 0xDC801674
Registered Linux User #267976


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Kann man Partitionen sicherer Mounten?

2003-11-27 Diskussionsfäden Florian Ernst 
Hallo Mathias!

On Thu, Nov 27, 2003 at 04:32:27PM +0100, Tauber, Mathias  HDP wrote:
Ich habe mal gelesen, dass es sinnvoll ist
diverse Teile des Dateisystems auf separate
Partitionen zu packen (siehe OpenBSD Dokus).
Ich benutze die Standardvorgaben bei der
Debianinstallation, daher sieht dann meine
/etc/fstab folgendermaßen aus:
<--schnip-->
<--schnap-->
Ich erinnere mich gelesen zu haben, dass man
nach einer solche Aufteilung diverse Partitionen
z.B. als Read-Only mounten kann. Ich erinnere
mich auch wage an sowas wie no-suid, bin mir
hier aber nicht mehr ganz sicher.
Schau Dir mal das 'Securing Debian Manual' an unter
http://www.de.debian.org/doc/user-manuals#securing
Insbesondere Kapitel 4.9 sollte für Dich dabei von Interesse sein.

Gruß,
Flo


pgp0.pgp
Description: PGP signature