Re: Gefährliche Kommandos?
Am Freitag 28 April 2006 20:14 schrieb Sandro Frenzel: Und was ist, wenn ich mir jetzt ein Programm aus dem Inet ziehe und es bei einem ./configure irgendein Scheiß mit meinem Home-Verzeichnis macht? Wie erkenne ich sowas? Vor sowas kann man sich doch gar nicht schützen, oder? Doch, indem Du das Skript genau liest bevor Du es ausführst. Das ist der Vorteil an OOS. bevor Du die SW nutzt kannst Du Dich vergewissern, das sie tut was sie soll. Da die Dinger aber dazu neigen groß zu sein tut das wohl kaum jemand. Aber die theoretische Möglichkeit ist da ;) Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: Gefährliche Kommandos?
Am Donnerstag 27 April 2006 21:43 schrieb Thomas Kreft: Jetzt bin ich neugierig: Was kann ein 'halt' bei einem Debian kaputtmachen? Die komplette ungesicherte Arbeit, den gerade laufenden Download, die Arbeit anderer user auf dem gleichen Rechner (in ungünstigen Szenarien - fehlerhafte config, partition voll kann evtl. das System nicht mehr starten... aber das liegt dann ja nicht mehr direkt an dem halt...) Gruß Chris -- A: because it distrupts the normal process of thought Q: why is top posting frowned upon
Re: Gefährliche Kommandos?
Matthias Haegele wrote: Wie wäre es, wenn du jeweils vorher mit man in die Handbuchseite guckst? Zu lang (die Ausgabe), wenn dann --help als option. Es gibt auch Kommandos (eher Scripte in verschiedensten Sprachen), die keine Parameter auswerten, da macht es keinen Unterschied, ob Du 'befehl' oder 'befehl --help' ausführst. Wenn Du absolut nicht weißt, was das Programm macht, ist 'man befehl' sicherer. Jakob -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Gefährliche Kommandos?
Jakob Lenfers schrieb: Matthias Haegele wrote: Wie wäre es, wenn du jeweils vorher mit man in die Handbuchseite guckst? Zu lang (die Ausgabe), wenn dann --help als option. Es gibt auch Kommandos (eher Scripte in verschiedensten Sprachen), die keine Parameter auswerten, da macht es keinen Unterschied, ob Du 'befehl' oder 'befehl --help' ausführst. Wenn Du absolut nicht weißt, was das Programm macht, ist 'man befehl' sicherer. Schon klar. Aber ;-): Normalerweise sollten sich keine unbekannten Scripte auf meinem System befinden und selbst halt wertet ja noch das --help aus, aber werde mir diese leichtsinnige Angewohnheit wieder abgewöhnen. Den Pfad werde ich gemäss eines Tipps (zumindest auf dem Rootserver) um das Lokale Verzeichnis kürzen ... Leider: old habits die hard ;-). Jakob Schönes WE @ all MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Gefährliche Kommandos?
Also sprach Jakob Lenfers [EMAIL PROTECTED] (Fri, 28 Apr 2006 14:59:22 +0200): Matthias Haegele wrote: Wie wäre es, wenn du jeweils vorher mit man in die Handbuchseite guckst? Zu lang (die Ausgabe), wenn dann --help als option. Es gibt auch Kommandos (eher Scripte in verschiedensten Sprachen), die keine Parameter auswerten, da macht es keinen Unterschied, ob Du 'befehl' oder 'befehl --help' ausführst. Wenn Du absolut nicht weißt, was das Programm macht, ist 'man befehl' sicherer. Apropos: apropos Jakob sl ritch
Re: Gefährliche Kommandos?
Am Freitag 28 April 2006 15:55 schrieb Christoph Haas: On Thu, Apr 27, 2006 at 09:43:37PM +0200, Klaus Zerwes wrote: Christoph Haas schrieb: Ansonsten der Standard-Tipp: nimmt . nicht mit in den $PATH auf, damit dir niemand was unterjubeln kann. Aber das meintest du sicher mit deinem letzten Satz. Hm - wenn ich befürchten muß das mir da wer was unterschiebt würde ich auch nicht meiner bzw der System-profile-Datei auch nicht trauen ;-) Es geht weniger darum, dass Systemdateien geändert werden. Aber lass mal einen anderen User ein Skript namens ls in seinem Homeverzeichnis anlegen. Du gehst rein, führst ls aus... Man braucht keine Root-Rechte, um dir was unterzuschieben. Und wie kann man sich davor schützen? Ich mein, welchen Scripten/Programmen usw. kann man denn vertrauen? Gruß Christoph
Re: Gefährliche Kommandos?
Sandro Frenzel schrieb: Am Freitag 28 April 2006 15:55 schrieb Christoph Haas: On Thu, Apr 27, 2006 at 09:43:37PM +0200, Klaus Zerwes wrote: Christoph Haas schrieb: Ansonsten der Standard-Tipp: nimmt . nicht mit in den $PATH auf, damit dir niemand was unterjubeln kann. Aber das meintest du sicher mit deinem letzten Satz. Hm - wenn ich befürchten muß das mir da wer was unterschiebt würde ich auch nicht meiner bzw der System-profile-Datei auch nicht trauen ;-) Es geht weniger darum, dass Systemdateien geändert werden. Aber lass mal einen anderen User ein Skript namens ls in seinem Homeverzeichnis anlegen. Du gehst rein, führst ls aus... Man braucht keine Root-Rechte, um dir was unterzuschieben. Und wie kann man sich davor schützen? Ich mein, welchen Scripten/Programmen usw. kann man denn vertrauen? Traue niemanden, man könnte auch noch md5-summen anlegen, intrusion-detection Systeme verwenden, etc., das kann man unendlich weit treiben ... Es gibt paranoide Naturen die jeden Befehl nur mit voller Pfadangabe ausführen z.B. /usr/bin/... bzw. /usr/sbin ... aber da nehm ich dann doch lieber das Risiko in Kauf. Gruß Christoph Grüsse MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Gefährliche Kommandos?
Am Freitag 28 April 2006 17:15 schrieb Christoph Haas: Mir ging es darum, nicht . mit in den $PATH aufzunehmen. Wenn du das tust, werden Programme auch im aktuellen Verzeichnis gesucht. Siehe mein ls-Beispiel. Es geht nicht darum, dass jemand in /usr/bin Unsinn macht. Dafür braucht man Admin-Rechte. Es geht darum, dass du dich in einem Verzeichnis /home/blaschwafel oder /var/www befindest, in dem dir eventuell ein Schreib-Berechtigter dort eine ausführbare Datei unterjubelt, die genauso heißt, wie ein Systembefehl. Du möchtest vermutlich 'ls' aus /bin/ls haben. Aber wenn du in /home/blaschwafel bist und es gibt dort ein Skript /home/blaschafel/ls, dann sucht deine Shell die $PATH-Variable durch. Dieses Phänomen habe ich nämlich selbst schon auf Systemen von Leuten gesehen, die nie verstanden haben, warum man Skript mit ./skript aufrufen muss. Und was ist, wenn ich mir jetzt ein Programm aus dem Inet ziehe und es bei einem ./configure irgendein Scheiß mit meinem Home-Verzeichnis macht? Wie erkenne ich sowas? Vor sowas kann man sich doch gar nicht schützen, oder? Oder ist ein solches Szenario gar nicht möglich? Gruß Christoph Tschau Sandro
Re: Gefährliche Kommandos?
Sandro Frenzel wrote: Und was ist, wenn ich mir jetzt ein Programm aus dem Inet ziehe und es bei einem ./configure irgendein Scheiß mit meinem Home-Verzeichnis macht? Wie erkenne ich sowas? Vor sowas kann man sich doch gar nicht schützen, oder? Doch, durch das ausschließliche Verwenden vertrauenswürdiger Software :) Oder ist ein solches Szenario gar nicht möglich? Doch. Verstecktes Unterverzeichnis mit Binaries, und den PATH dorthin verbiegen. Oder einfach ein Bash-Alias geeignet setzen. Grüße, Björn -- BOFH excuse #335: the AA battery in the wallclock sends magnetic interference -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Gefährliche Kommandos?
Thorsten Haude schrieb: Gibt es unix/linux-Kommandos die ernsthaft was kaputtmachen könnten wenn sie ohne Argumente ausgeführt werden (ohne Berücksichtigung von (untergeschobenen) Scripten 3.er natürlich ...)? Je nach Plattform: halt killall Jetzt bin ich neugierig: Was kann ein 'halt' bei einem Debian kaputtmachen? Laut manpage wird bei halt, poweroff und reboot lediglich shutdown mit der entsprechenden Option ausgeführt (wenn nicht in runlevel 0 oder 6)... -- Thomas Kreft daeron at gmx dot net GPG ID 48AF3580 - Registered Linux User #405685 (http://counter.li.org)
Re: Gefährliche Kommandos?
Christoph Haas schrieb: On Thu, Apr 27, 2006 at 09:15:01PM +0200, Matthias Haegele wrote: Habe mir angewöhnt unbekannte Kommandos einfach mal so auszuprobieren (ohne Argumente) manchmal prüfe ich vorher noch mit whereis wo sie herkommen (das mache ich natürlich nur auf meinem privaten Desktop-PC ...). Du hast Befehle mit demselben Namen in verschiedenen Stellen im $PATH? Nee. Zumindest nicht dass ich wüsste ... Gibt es unix/linux-Kommandos die ernsthaft was kaputtmachen könnten wenn sie ohne Argumente ausgeführt werden (ohne Berücksichtigung von (untergeschobenen) Scripten 3.er natürlich ...)? 'poweroff' und 'reboot' zum Beispiel sind nicht sehr förderlich für die Verfügbarkeit von Debian-Systemen. Ja vor allem nicht die ssh-console mit dem lokalen rechner beim poweroff verwechseln ... Dachte nur es gibt noch einen bösen Befehl den ich noch nicht kenne ... Wie wäre es, wenn du jeweils vorher mit man in die Handbuchseite guckst? Zu lang (die Ausgabe), wenn dann --help als option. Ansonsten der Standard-Tipp: nimmt . nicht mit in den $PATH auf, damit dir niemand was unterjubeln kann. Aber das meintest du sicher mit deinem letzten Satz. Jup. Gruß Christoph Grüsse Danke MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Gefährliche Kommandos?
Christoph Haas schrieb: On Thu, Apr 27, 2006 at 09:15:01PM +0200, Matthias Haegele wrote: [...] Ansonsten der Standard-Tipp: nimmt . nicht mit in den $PATH auf, damit dir niemand was unterjubeln kann. Aber das meintest du sicher mit deinem letzten Satz. Hm - wenn ich befürchten muß das mir da wer was unterschiebt würde ich auch nicht meiner bzw der System-profile-Datei auch nicht trauen ;-) Gruß Christoph Klaus -- Klaus Zerwes http://www.zero-sys.net -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Gefährliche Kommandos?
Am Donnerstag, 27. April 2006 22:33 schrieb Wolf Wiegand: Hallo, Klaus Zerwes wrote: Ansonsten der Standard-Tipp: nimmt . nicht mit in den $PATH auf, damit dir niemand was unterjubeln kann. Aber das meintest du sicher mit deinem letzten Satz. Hm - wenn ich befürchten muß das mir da wer was unterschiebt würde ich auch nicht meiner bzw der System-profile-Datei auch nicht trauen ;-) /etc/profile und /home/klaus/.bashrc dürfen nur root bzw. Du beschreiben, ein echo rm -rf ~/* /tmp/ls; chmod +x /tmp/ls und dann nach ein export PATH=/tmp:$PATH ps: @ Matthias. NICHT AUSPROBIEREN!!! -- cu Roland Kruggel mailto: rk.liste at bbf7.de System: Intel, Debian etch, 2.6.15, KDE 3.5
