Sicherheitsfrage - Welche Rechte können attachments erlangen
Was kann ein "böses" email-attachment bei einem user maximal an Schaden anrichten? Wäre es möglich auf alle Dateien zuzugreifen für die der user Rechte hat und zB diese zu löschen? Wie sieht es mit Windows-Viren-Attachments mit einem Linux-MUA aus, wenn Samba installiert ist? Albert
Am Sam, 2002-04-20 um 12.53 schrieb A. Bogner:
Was kann ein "böses" email-attachment bei einem user maximal an Schaden anrichten? Wäre es möglich auf alle Dateien zuzugreifen für die der user Rechte hat und zB diese zu löschen? Wie sieht es mit Windows-Viren-Attachments mit einem Linux-MUA aus, wenn Samba installiert ist?
Hallo Albert, wenn Du ein Windows-Viren-Attachment aus Deinem Linux-MUA heraus auf der Platte ablegst und dann z.B. die ausführbare Datei auf Deinem Windows-Client startest, richtet das Attachment genauso großen Schaden an, wie sonst auch. Grundsätzlich gilt: Im Gegensatz zu Windows ist Linux nicht anfällig was WSH-Viren und VBS-Viren angeht, aber es ist immer Vorsicht geboten. Wenn Du ein Attachment unaufgefordert zugesandt bekommst, solltest Du Dir sehr gut überlegen, ob Du das anpackst. Ich kann mir schon vorstellen, dass, wenn Du z.B. Netscape Messenger als MUA unter Linux verwendest, eine HTML-Mail mit eingebauten bösen JavaScript einiges auf Deinem Rechner anrichten kann - d.h. auch hier ist Vorsicht geboten, am Besten JavaScript deaktivieren. Natürlich sind Windows-Viren häufiger aber es ist blauäugig zu glauben, dass man mit einem Linux-Rechner die Sicherheit gepachtet hat! Gruß, Roland
Am Samstag, 20. April 2002 13:06 schrieb Roland Ehle:
Was kann ein "böses" email-attachment bei einem user maximal an Schaden anrichten? Wäre es möglich auf alle Dateien zuzugreifen für die der user Rechte hat und zB diese zu löschen? Wie sieht es mit Windows-Viren-Attachments mit einem Linux-MUA aus, wenn Samba installiert ist?
wenn Du ein Windows-Viren-Attachment aus Deinem Linux-MUA heraus auf der Platte ablegst und dann z.B. die ausführbare Datei auf Deinem Windows-Client startest, richtet das Attachment genauso großen Schaden an, wie sonst auch.
Das ist klar. Ich frage mich, inwieweit sich so ein Attachment selbständig machen kann bzw. die ausführbaren Rechte des users erlangen kann.
eine HTML-Mail mit eingebauten bösen JavaScript einiges auf Deinem Rechner anrichten kann - d.h. auch hier ist Vorsicht geboten, am Besten JavaScript deaktivieren.
Ohne Javascript funktionieren viele Seiten leider nicht. Ich bin am Überlegen, ob ich 2 user anlegen soll. Einen user mit Internetzugang und keinen Rechten in allen Dateisystemen, die nicht unbedingt gebraucht werden und ein weiterer user mit den gewünschten Rechten für die Daten auf den diversen Partitionen. Es wird natürlich dann umständlicher. Vor kurzem las ich mal irgendwo, das man zB auf F8 ein weiteres X aufmachen kann. Das wäre aber akzeptabel. Würde das Sinn machen? Albert
Am Sam, 2002-04-20 um 13.19 schrieb A. Bogner: [...]
wenn Du ein Windows-Viren-Attachment aus Deinem Linux-MUA heraus auf der Platte ablegst und dann z.B. die ausführbare Datei auf Deinem Windows-Client startest, richtet das Attachment genauso großen Schaden an, wie sonst auch.
Das ist klar. Ich frage mich, inwieweit sich so ein Attachment selbständig machen kann bzw. die ausführbaren Rechte des users erlangen kann.
Dazu gabs hier ja bereits Antworten - ein Windows-Virus richtet unter Linux nichts an.
eine HTML-Mail mit eingebauten bösen JavaScript einiges auf Deinem Rechner anrichten kann - d.h. auch hier ist Vorsicht geboten, am Besten JavaScript deaktivieren.
Ohne Javascript funktionieren viele Seiten leider nicht.
Das ist klar, Du kannst aber z.B. bei Netscape JavaScript nur für Mail deaktivieren.
Ich bin am Überlegen, ob ich 2 user anlegen soll. Einen user mit Internetzugang und keinen Rechten in allen Dateisystemen, die nicht unbedingt gebraucht werden und ein weiterer user mit den gewünschten Rechten für die Daten auf den diversen Partitionen.
Hört sich für mich sinnvoll an.
Es wird natürlich dann umständlicher. Vor kurzem las ich mal irgendwo, das man zB auf F8 ein weiteres X aufmachen kann. Das wäre aber akzeptabel. Würde das Sinn machen?
An den Rechten ändert sich nichts, ob Du X jetzt normal startest oder in einer zusätzlichen Session (F8). Gruß, Roland
Am Samstag, 20. April 2002 13:34 schrieb Roland Ehle:
Das ist klar. Ich frage mich, inwieweit sich so ein Attachment selbständig machen kann bzw. die ausführbaren Rechte des users erlangen kann.
Dazu gabs hier ja bereits Antworten - ein Windows-Virus richtet unter Linux nichts an.
Ok, das ist mir soweit auch bekannt. Ich denke aber an eine Kombination. Das Win-Virus kopiert sich unter Linux in diverse Verzeichnisse und wartet bis das Verzeichnis unter Win gestartet wird und ist dann ausführbar.
Ich bin am Überlegen, ob ich 2 user anlegen soll. Einen user mit Internetzugang und keinen Rechten in allen Dateisystemen, die nicht unbedingt gebraucht werden und ein weiterer user mit den gewünschten Rechten für die Daten auf den diversen Partitionen.
Hört sich für mich sinnvoll an.
Es wird natürlich dann umständlicher. Vor kurzem las ich mal irgendwo, das man zB auf F8 ein weiteres X aufmachen kann. Das wäre aber akzeptabel. Würde das Sinn machen?
An den Rechten ändert sich nichts, ob Du X jetzt normal startest oder in einer zusätzlichen Session (F8).
Also für einen weiteren user am selben PC ist eine weitere X-Session nicht möglich? Hey, dann werden bei mir einige user aus Bequemlichkeit ihre Mails zukünftig auf der Konsole schreiben und lesen :-) Bleiben unter X in einer Konsole irgendwelche Rechte des ursprünglichen users über, wenn man mit su wechselt? Albert
A. Bogner schrieb am Sat, Apr 20, 2002 at 02:07:50PM +0200:
[schnipp-schnapp] Ok, das ist mir soweit auch bekannt. Ich denke aber an eine Kombination. Das Win-Virus kopiert sich unter Linux in diverse Verzeichnisse und wartet bis das Verzeichnis unter Win gestartet wird und ist dann ausführbar.
Uff, ein Virus der unter Linux und Win32 lauffähig ist? Der müßte dann aber schon in Java (_nicht_ javascript) geschrieben sein. ... halte ich alles für _sehr_ unwahrscheinlich, ich glaube du machst dir hier umsonst Sorgen. Bye
Hallo Albert, Am Sam, 2002-04-20 um 14.07 schrieb A. Bogner: [...]
Ok, das ist mir soweit auch bekannt. Ich denke aber an eine Kombination. Das Win-Virus kopiert sich unter Linux in diverse Verzeichnisse und wartet bis das Verzeichnis unter Win gestartet wird und ist dann ausführbar. Das ist natürlich klar, diese Gefahr besteht grundsätzlich.
[...]
Es wird natürlich dann umständlicher. Vor kurzem las ich mal irgendwo, das man zB auf F8 ein weiteres X aufmachen kann. Das wäre aber akzeptabel. Würde das Sinn machen?
An den Rechten ändert sich nichts, ob Du X jetzt normal startest oder in einer zusätzlichen Session (F8). Also für einen weiteren user am selben PC ist eine weitere X-Session nicht möglich? Hey, dann werden bei mir einige user aus Bequemlichkeit ihre Mails zukünftig auf der Konsole schreiben und lesen :-)
NACK! Du kannst zwei verschiedene X-Sessions auf einem PC starten und natürlich auch als anderer User.
Bleiben unter X in einer Konsole irgendwelche Rechte des ursprünglichen users über, wenn man mit su wechselt?
Muß ich leider unbeantwortet lassen, sorry. Gruß, Roland
Am Samstag, 20. April 2002 14:28 schrieb Roland Ehle:
Also für einen weiteren user am selben PC ist eine weitere X-Session nicht möglich
NACK! Du kannst zwei verschiedene X-Sessions auf einem PC starten und natürlich auch als anderer User.
Was ist also zu tun, um auf F8 für einen anderen user eine X-Session zu legen? Sorry für den Fall, das vor kurzem hier darüber in der Liste diskutiert wurde. Irgendwo las ich in dieser Richtung was, keine Ahnung mehr, wo das war. Albert
Hi Albert, Am Sam, 2002-04-20 um 15.26 schrieb A. Bogner:
Am Samstag, 20. April 2002 14:28 schrieb Roland Ehle:
Also für einen weiteren user am selben PC ist eine weitere X-Session nicht möglich
NACK! Du kannst zwei verschiedene X-Sessions auf einem PC starten und natürlich auch als anderer User.
Was ist also zu tun, um auf F8 für einen anderen user eine X-Session zu legen?
Sorry für den Fall, das vor kurzem hier darüber in der Liste diskutiert wurde. Irgendwo las ich in dieser Richtung was, keine Ahnung mehr, wo das war.
Grummel, ja das war kürzlich hier in der Liste, aber ich komme selbst nicht an mein Mailarchiv ran im Augenblick. Aber Google dürfte helfen :-) Gruß, Roland
* A. Bogner schrieb am 20.Apr.2002:
Am Samstag, 20. April 2002 14:28 schrieb Roland Ehle:
Also für einen weiteren user am selben PC ist eine weitere X-Session nicht möglich
NACK! Du kannst zwei verschiedene X-Sessions auf einem PC starten und natürlich auch als anderer User.
Was ist also zu tun, um auf F8 für einen anderen user eine X-Session zu legen?
Also ob F8 oder F9 oder was auch immer, wenn Du /dev/tty3 aus der /etc/inittab austrägst, dann wird das nächste X auf F3 liegen. X nimmt immer die nächste freie Konsole. SuSE hat allerdings mittlerweile was rumgetrickst, daß das erste X immer auf F7 liegt, das ist auch nicht normal so, würde aber einige Leute zu sehr verwirren. sag einfach startx -- :1 mit startx -- :2 kanst Du noch ein X-Server aufmachen usw. Allerdings solltest Du einen sehr schnellen Rechner und viel Hauptspeicher haben. Du kanst auch einen anderen Windowmanger als den normalen haben, indem Du startx Windowmanager -- :1 sagst. Etwa startx icewm -- :1 oder was auch immer. Bernd -- Welches Buch ist zu empfehlen? Schon mal bei SuSE vorbeigesehen? http://www.suse.de/de/products/books/index.html oder die Empfehlungen der SuSE-Entwickler auf dem eigenen Rechner? file:///usr/share/doc/sdb/de/html/literatur.html |Zufallssignatur 5
* A. Bogner schrieb am 20.Apr.2002:
Am Samstag, 20. April 2002 13:34 schrieb Roland Ehle:
Das ist klar. Ich frage mich, inwieweit sich so ein Attachment selbständig machen kann bzw. die ausführbaren Rechte des users erlangen kann.
Dazu gabs hier ja bereits Antworten - ein Windows-Virus richtet unter Linux nichts an.
Ok, das ist mir soweit auch bekannt. Ich denke aber an eine Kombination. Das Win-Virus kopiert sich unter Linux in diverse Verzeichnisse und wartet bis das Verzeichnis unter Win gestartet wird und ist dann ausführbar.
Wer sollte ihm starten? Kmail tut es meines Wissens nach nicht. Unter Linux werden normalerweise keine Attachments automatisch geöffnet. Aber für Netscape lege ich sicherlich keine Hand ins Feuer.
Ich bin am Überlegen, ob ich 2 user anlegen soll. Einen user mit Internetzugang und keinen Rechten in allen Dateisystemen,
Das geht nicht, oder nur sehr schlecht. Warum sollte er keine Rechte im Dateisystem haben?
die nicht unbedingt gebraucht werden und ein weiterer user mit den gewünschten Rechten für die Daten auf den diversen Partitionen.
Welche Partitionen?
Hört sich für mich sinnvoll an.
Es wird natürlich dann umständlicher. Vor kurzem las ich mal irgendwo, das man zB auf F8 ein weiteres X aufmachen kann. Das wäre aber akzeptabel. Würde das Sinn machen?
An den Rechten ändert sich nichts, ob Du X jetzt normal startest oder in einer zusätzlichen Session (F8).
Also für einen weiteren user am selben PC ist eine weitere X-Session nicht möglich? Hey, dann werden bei mir einige user aus Bequemlichkeit ihre Mails zukünftig auf der Konsole schreiben und lesen :-)
Natürlich ist ein weiteres X auf den selben PC möglich, aber wenn zwei User gleichzitig daran arbeiten wollen brauchst Du schon ein X-Terminal, wie sollte das auch sonst gehen? Roland hat auch nichts anderes behauptet. Er hat nur gesagt, an den Rechten ändert sich nichts. Wenn Du natürlich als ein anderer User ein weiters X öffnest, dann hat dieser User die Rechte. Aber was soll das bringen? Wenn Du so gefährdete Daten hast, dann leg sie auf einem Rechner, der kein Zugang zum Internet hat.
Bleiben unter X in einer Konsole irgendwelche Rechte des ursprünglichen users über, wenn man mit su wechselt?
Ich verstehe Deine Frage nicht. Wenn User A auf F7 X laufen hat und User B auf F8, so braucht User B doch nur ALT-CTRL-F7 zu drücken und er kann als User A arbeiten. Es bleibt doch ein einziger Monitor, eine einzige Tastatur und eine einzige Maus. Nochmal, wenn zwei User unabhängig voneinander an einem Rechner arbeiten sollen, dann brauchst Du ein X-Terminal, den Du am Rechner anschließt, ein User arbeitet dann ganz normal an Monitor und Tastatur, der andere am X-Terminal, das im Prinzip auch nur aus Monitor und Tastatur besteht. Bernd -- Alle meine Signaturen sind rein zufällig und haben nichts mit dem Text oder dem Schreiber zu tun, dem ich antworte. Falls irgendwelche Unrichtigkeiten dabei sein sollten, so bedauere ich das. Es wäre nett, wenn Du mich benachrichtigen würdest. |Zufallssignatur 0
On Sat, Apr 20, 2002 at 03:02:14PM +0200, Bernd Brodesser wrote:
* A. Bogner schrieb am 20.Apr.2002:
Ich bin am Überlegen, ob ich 2 user anlegen soll. Einen user mit Internetzugang und keinen Rechten in allen Dateisystemen, die nicht unbedingt gebraucht werden und ein weiterer user mit den gewünschten Rechten für die Daten auf den diversen Partitionen.
Ich verstehe Deine Frage nicht. Wenn User A auf F7 X laufen hat und User B auf F8, so braucht User B doch nur ALT-CTRL-F7 zu drücken und er kann als User A arbeiten. Es bleibt doch ein einziger Monitor, eine einzige Tastatur und eine einzige Maus. Aber das ist doch der Klu: A. nutzt den X-Server von User B um im Internet zu Surfen - User B hat gerade soviel rechte wie er dafür braucht und kann somit nicht auf die Daten von User A. zurückgreifen. Das bietet mehr sicherheit. Möchte er "normal" weiterarbeiten wechselt er zu User A. Werden Daten von User B benötigt, so lassen sich die Rechte ja entsprechend offen halten: sprich User A darf auf die Dateien von User B zurückgreifen aber nicht umgekehrt.
greetinXs, Telefon: 07275/618351 Michael Hilscher Handy: 0173/3071899 Telefax: 07275/618352 -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds
Am Samstag, 20. April 2002 15:02 schrieb Bernd Brodesser:
Wer sollte ihm starten?
Keine Ahnung, was sich ein Schelm alles ausdenken kann.
Ich bin am Überlegen, ob ich 2 user anlegen soll. Einen user mit Internetzugang und keinen Rechten in allen Dateisystemen,
Das geht nicht, oder nur sehr schlecht. Warum sollte er keine Rechte im Dateisystem haben?
die nicht unbedingt gebraucht werden und ein weiterer user mit den gewünschten Rechten für die Daten auf den diversen Partitionen.
Welche Partitionen?
Ich meinte folgendes: Persönliche Daten, werden in einer eigenen Partition bzw. Verzeichnis abgelegt, in der der "Internet-user" keine Rechte hat. Ein Virus oder was immer kann dann alle Dateien des Home-Verzeichnisses löschen, an die "sensiblen Daten" aber kommt es wegen fehlender Rechte aber nicht ran.
Wenn Du so gefährdete Daten hast, dann leg sie auf einem Rechner, der kein Zugang zum Internet hat.
Wie bereits erwähnt, das ist ein Thema das mich interessiert, die Daten sind nicht wirklich sensibel.
Ich verstehe Deine Frage nicht. Wenn User A auf F7 X laufen hat und User B auf F8, so braucht User B doch nur ALT-CTRL-F7 zu drücken und er kann als User A arbeiten.
Ok. Ich meinte aber, das sich User A auf F7 unter X ein Terminalfenster aufmacht und von dort zu User B mit su wechselt. Meine theoretische Frage ist also, ob es Unterschiede in der Sicherheit bei dem von Dir und bei dem von mir erwähnten Beispiel gibt. Albert
* A. Bogner schrieb am 20.Apr.2002:
Am Samstag, 20. April 2002 15:02 schrieb Bernd Brodesser:
Persönliche Daten, werden in einer eigenen Partition bzw. Verzeichnis abgelegt, in der der "Internet-user" keine Rechte hat. Ein Virus oder was immer kann dann alle Dateien des Home-Verzeichnisses löschen, an die "sensiblen Daten" aber kommt es wegen fehlender Rechte aber nicht ran.
Die Frage ist, ob er sich keine Rechte besorgt. Geht natürlich nur, wenn ein User, besonders root ihm ausführt. Darauf würde ich mal mein Augenmerk lenken. Darum hat root ja auch nicht das aktuelle Verzeichniß im Pfad stehen.
Ich verstehe Deine Frage nicht. Wenn User A auf F7 X laufen hat und User B auf F8, so braucht User B doch nur ALT-CTRL-F7 zu drücken und er kann als User A arbeiten.
Ok. Ich meinte aber, das sich User A auf F7 unter X ein Terminalfenster aufmacht und von dort zu User B mit su wechselt.
Meine theoretische Frage ist also, ob es Unterschiede in der Sicherheit bei dem von Dir und bei dem von mir erwähnten Beispiel gibt.
Solange keine X-Anwendung benötigt wird, ist es kein Unterschied. Um X auf einen anderen als mein server ausführen zu können brauche ich die Erlaubnis des anderen. Meist wird ein generelles xhost + erteilt. Allerdings weiß ich auch nicht, ob die Gefahr größer ist als daß nur jemand anderes irgendwas auf dem Bildschirm schreiben kann. Bernd -- ACK = ACKnowledge = Zustimmung | NAC = No ACknowledge = keine Zustimmung DAU = Dümmster Anzunehmender User | LOL = Laughing Out Loud = Lautes Lachen IIRC = If I Remember Correctly = Falls ich mich richtig erinnere OT = Off Topic = Am Thema (der Liste) vorbei |Zufallssignatur 11
Hallo Bernd, hallo Leute, Am Samstag, 20. April 2002 17:43 schrieb Bernd Brodesser:
Solange keine X-Anwendung benötigt wird, ist es kein Unterschied. Um X auf einen anderen als mein server ausführen zu können brauche ich die Erlaubnis des anderen. Meist wird ein generelles xhost + erteilt. Allerdings weiß ich auch nicht, ob die Gefahr größer ist als daß nur jemand anderes irgendwas auf dem Bildschirm schreiben kann.
xhost + ist ohne Angabe des Hostnamen ein relativ großes Sicherheitsrisiko, siehe http://www.informatik.tu-muenchen.de/rechenbetrieb/rbg-fak/xhost.html theoretisch kann jemand, wenn xhost + ausgeführt wurde und eine Verbindung zum Internet besteht, alle Eingaben mitlesen :-(( - wirklich nicht schön (er braucht dazu nur ein modifiziertes TuxEyes, das zusätzlich die Tastatur überwacht, im Gegenzug aber unsichtbar ist) Also immer schön "xhost +localhost" eingeben oder das ganze über die .Xauthority (man xauth) lösen, was die Sache vereinfachen sollte, gerade, wenn immer der gleiche Benutzer auf den X-Server zugreifen soll. Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux - life is too short for reboots.
Hi Christian,
From: "Christian Boltz"
Hallo Bernd, hallo Leute,
Am Samstag, 20. April 2002 17:43 schrieb Bernd Brodesser:
Solange keine X-Anwendung benötigt wird, ist es kein Unterschied. Um X auf einen anderen als mein server ausführen zu können brauche ich die Erlaubnis des anderen. Meist wird ein generelles xhost + erteilt. Allerdings weiß ich auch nicht, ob die Gefahr größer ist als daß nur jemand anderes irgendwas auf dem Bildschirm schreiben kann.
xhost + ist ohne Angabe des Hostnamen ein relativ großes Sicherheitsrisiko, siehe http://www.informatik.tu-muenchen.de/rechenbetrieb/rbg-fak/xhost.html theoretisch kann jemand, ....
Du hast zwar Recht, aber Du kannst gleich nach dem Programmstart oder dem Terminalfenster mit xhost - alles wieder unterbinden. Das Fenster od. das Programm läuft dann normal weiter, sprich das Risiko ist zeitlich sehr begrenzt. Gruß Michael
Hi!
Du hast zwar Recht, aber Du kannst gleich nach dem Programmstart oder dem Terminalfenster mit xhost - alles wieder unterbinden. Das Fenster od. das Programm läuft dann normal weiter, sprich das Risiko ist zeitlich sehr begrenzt.
Ne, geht nicht. Wenn Du "xhost -" machst, reagiert die Anwendung, die gestartet wurde nicht mehr. Es muss während der gesamten Ausführung der Anwendung derjenige das Recht dazu haben, diese Anwendung auf dem X-Server darzustellen/auszuführen. Heißt es, wenn ich den Port 6000/tcp vom X11 aufhabe, jeder von aussen (wenn ich eine direkte Anbindung habe) Programme bei mir anzeigen/ausführen kann? (natürlich nach einem xhost +) SuSE schlägt selbst in der Hilfe vor, dass man als normaler User arbeit und grafische Programme mit Rootrechten folgendermaßen aufrufen soll: xhost + su programm exit xhost - Es reicht doch, wenn ich nur localhost Zugriff gestatte, und auch nur solange, bis das Programm beendet ist xhost +localhost\ && su --command "programm-mit-root-rechen"\ ; xhost -localhost Gruß Thomas
On Sunday, 21. April 2002 15:04, Thomas Föcking wrote:
Hi!
Du hast zwar Recht, aber Du kannst gleich nach dem Programmstart oder dem Terminalfenster mit xhost - alles wieder unterbinden. Das Fenster od. das Programm läuft dann normal weiter, sprich das Risiko ist zeitlich sehr begrenzt.
Ne, geht nicht. Wenn Du "xhost -" machst, reagiert die Anwendung, die gestartet wurde nicht mehr. Es muss während der gesamten Ausführung der Anwendung derjenige das Recht dazu haben, diese Anwendung auf dem X-Server darzustellen/auszuführen.
Kann ich hier nicht nachvollziehen. Es tut, wie der Vorredner (glaube es war Christian) geschrieben hat. Heiner -- heiner@kflog.org GnuPG - Key: E05AEAFC Fingerprint: 257A DFBF 4977 4585 77A0 3509 973B 92AA E05A EAFC
Du hast zwar Recht, aber Du kannst gleich nach dem Programmstart oder dem Terminalfenster mit xhost - alles wieder unterbinden. Das Fenster od. das Programm läuft dann normal weiter, sprich das Risiko ist zeitlich sehr begrenzt.
Ne, geht nicht. Wenn Du "xhost -" machst, reagiert die Anwendung, die gestartet wurde nicht mehr. Es muss während der gesamten Ausführung der Anwendung derjenige das Recht dazu haben, diese Anwendung auf dem X-Server darzustellen/auszuführen.
Kann ich hier nicht nachvollziehen. Es tut, wie der Vorredner (glaube es war Christian) geschrieben hat. Sorry, aber bei ist es definitiv anders. SuSE 8.0 Standardinstallation:
xhost +localhost su (passwd) /opt/kde3/bin/kwrite [STRG+Z] xhost -localhost Nachdem xhost -localhost hängt die Anwendung. Vielleicht liegts an der neuen XFree86 Version... Ist ja auch logischer und sicherheitstechnisch besser. Gruß Thomas
On Sunday, 21. April 2002 15:51, Thomas Föcking wrote:
Du hast zwar Recht, aber Du kannst gleich nach dem Programmstart oder dem Terminalfenster mit xhost - alles wieder unterbinden. Das Fenster od. das Programm läuft dann normal weiter, sprich das Risiko ist zeitlich sehr begrenzt.
Ne, geht nicht. Wenn Du "xhost -" machst, reagiert die Anwendung, die gestartet wurde nicht mehr. Es muss während der gesamten Ausführung der Anwendung derjenige das Recht dazu haben, diese Anwendung auf dem X-Server darzustellen/auszuführen.
Kann ich hier nicht nachvollziehen. Es tut, wie der Vorredner (glaube es war Christian) geschrieben hat.
Sorry, aber bei ist es definitiv anders. SuSE 8.0 Standardinstallation:
xhost +localhost su (passwd) /opt/kde3/bin/kwrite [STRG+Z] xhost -localhost
Wenn Du das so eingibst, ist es kein Wunder, dass kwrite nicht mehr reagiert. Das liegt dann aber nicht an xhost, sondern dara, dass Du es mit [STGR+Z] angehalten hast. Damit reagiert kwrite aber erst, wenn Du es mit "bg" in den Hintergrund schiebst. Ich habe es sowohl mit XEmacs, als auch mit kwrite unter SuSE7.2 und SuSE8.0 ausprobiert. Glaube mir, in allen Fällen kann ich auch nach "xhost -" noch mit dem jeweiligen Programm arbeiten.
Nachdem xhost -localhost hängt die Anwendung. Vielleicht liegts an der neuen XFree86 Version... Ist ja auch logischer und sicherheitstechnisch besser.
Das sehe ich anders: Der Zugriff ist in Deiner Version während der gesamten Arbeitszeit mit einem Programm geöffnet. In meiner jedoch nur, bis ich das Programm gestartet habe ... Heiner -- heiner@kflog.org GnuPG - Key: E05AEAFC Fingerprint: 257A DFBF 4977 4585 77A0 3509 973B 92AA E05A EAFC
Hallo Heiner, hallo Thomas, hallo Leute, Am Sonntag, 21. April 2002 16:02 schrieb Heiner Lamprecht:
On Sunday, 21. April 2002 15:51, Thomas Föcking wrote:
[hier wurden etliche Vorredner gekillt]
Du hast zwar Recht, aber Du kannst gleich nach dem Programmstart oder dem Terminalfenster mit xhost - alles wieder unterbinden. Das Fenster od. das Programm läuft dann normal weiter, sprich das Risiko ist zeitlich sehr begrenzt.
Dafür ist es aber ein recht großes Risiko, wenn man den Hostnamen nicht angibt: Nochmal: "xhost +" IST EIN SICHERHEITSRISIKO !!! Stattdessen xhost +hostname verwenden, das reduziert die Zahl der möglichen Angreifer von "nahezu unendlich" (falls der PC am Internet hängt) auf nur einen Host! Bezüglich der zeitlichen Begrenzung: Die ist prinzipiell gut. Wenn allerdings jemand unbedingt in Deinen X-Server eindringen möchte, kann er das auch gewaltsam tun, indem er per Schleife 1x pro Sekunde versucht zu connecten. Bist Du so schnell? ;-) Für absolute Sicherheit ist also das xhost-Kommando nicht geeignet (bessere Lösung siehe unten)
Ne, geht nicht. Wenn Du "xhost -" machst, reagiert die Anwendung, die gestartet wurde nicht mehr. Es muss während
Kann ich hier nicht nachvollziehen. Es tut, wie der Vorredner (glaube es war Christian) geschrieben hat.
Ich habe es sowohl mit XEmacs, als auch mit kwrite unter SuSE7.2 und SuSE8.0 ausprobiert. Glaube mir, in allen Fällen kann ich auch nach "xhost -" noch mit dem jeweiligen Programm arbeiten.
Nachdem xhost -localhost hängt die Anwendung. Vielleicht liegts an der neuen XFree86 Version... Ist ja auch logischer und sicherheitstechnisch besser.
Das sehe ich anders: Der Zugriff ist in Deiner Version während der gesamten Arbeitszeit mit einem Programm geöffnet. In meiner jedoch nur, bis ich das Programm gestartet habe ...
aus man xhost (X 4.1.0 / SuSE 7.3): | -name | The given name is removed from the list of allowed to connect to the | server. The name can be a host name or a user name. Existing | connections are not broken, but new connection attempts will be | denied. Note that the current machine is allowed to be removed; | however, further connections (including attempts to add it back) will | not be permitted. Resetting the server (thereby breaking all | connections) is the only way to allow local connections again. Der Zugriff eines _laufenden_ Programms auf den X-Server ist auch nach einem xhost -hostname noch möglich (gerade nochmal getestet) Wenn Du dich wirklich absichern möchtest, verwende nicht xhost +hostname, sondern arbeite mit xauth -> man xauth Damit kannst Du den Zugriff auf den X-Server userbezogen freigeben, was IMHO sicherer ist, als es hostbezogen zu machen. Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux - life is too short for reboots.
Hi Thomas,
From: "Thomas Föcking"
Hi!
Du hast zwar Recht, aber Du kannst gleich nach dem Programmstart oder dem Terminalfenster mit xhost - alles wieder unterbinden. Das Fenster od. das Programm läuft dann normal weiter, sprich das Risiko ist zeitlich sehr begrenzt.
Ne, geht nicht. Wenn Du "xhost -" machst, reagiert die Anwendung, die gestartet wurde nicht mehr. Es muss während der gesamten Ausführung der Anwendung derjenige das Recht dazu haben, diese Anwendung auf dem X-Server darzustellen/auszuführen.
Doch. Ich arbeite so und es funktioniert. Wir haben hier jede Menge Programme, die über LFS gestartet werden, d.h. man kann nicht vorhersagen, auf welchem Server diese letztendlich gestartet werden. Also gebe ich mit xhost + allen Rechnern die Möglichkeit, ein Fenster bei mir zu öffnen. Sobald das da ist unterbinde ich dies wieder mit xhost -. Anschließend kann ich ganz normal damit weiterarbeiten. Es werden sogar neue Fenster bei mir aus diesen Anwendungen geöffnet.
Heißt es, wenn ich den Port 6000/tcp vom X11 aufhabe, jeder von aussen (wenn ich eine direkte Anbindung habe) Programme bei mir anzeigen/ausführen kann? (natürlich nach einem xhost +)
keine Ahnung.
SuSE schlägt selbst in der Hilfe vor, dass man als normaler User arbeit und grafische Programme mit Rootrechten folgendermaßen aufrufen soll: xhost + su programm exit xhost -
ja. Das Programm muß halt die Möglichkeit haben, daß Fenster zu öffnen. Schalte ich mit xhost - dies vorher wieder aus - also Programm aufrufen bevor das Fenster da ist - dann klappt das eben nicht.
Es reicht doch, wenn ich nur localhost Zugriff gestatte, und auch nur solange, bis das Programm beendet ist
Es kommt eben darauf an, was man machen möchte. Gruß Michael
"Michael Lootz"
From: "Thomas Föcking"
Heißt es, wenn ich den Port 6000/tcp vom X11 aufhabe, jeder von aussen (wenn ich eine direkte Anbindung habe) Programme bei mir anzeigen/ausführen kann? (natürlich nach einem xhost +)
Davon würde ich ausgehen. Ich weiss jetzt nicht, welche Ports genau benötigt werden (Also ob es genau Port 6000 ist!), aber das mit dem xhost ist eine böse Falle. Denn das Protokoll kann deutlich mehr, als nur mal eben so "neue Fenster öffnen". Man kann auch gezielt Fenster schliessen (So als kleines Beispiel!). (Das war damals in der Uni von einigen Idioten das tolle Spiel: Einem einfach das xsession Fenster zu machen und ausgelogt war man. Also Attacken sind total easy, warum ich ein xhost - nur jedem ans Herz legen kann!)
SuSE schlägt selbst in der Hilfe vor, dass man als normaler User arbeit und grafische Programme mit Rootrechten folgendermaßen aufrufen soll: xhost + su programm exit xhost -
Warum denn noch solche Konstrukte? Warum z.B. nicht eine Lösung per SSH? ssh -l root localhost programm Evtl. noch ein -X, aber das hängt von den verwendeten Standards ab. Und statt localhost kann man natürlich jeden anderen Server nutzen.
ja. Das Programm muß halt die Möglichkeit haben, daß Fenster zu öffnen. Schalte ich mit xhost - dies vorher wieder aus - also Programm aufrufen bevor das Fenster da ist - dann klappt das eben nicht.
Es reicht doch, wenn ich nur localhost Zugriff gestatte, und auch nur solange, bis das Programm beendet ist
Es kommt eben darauf an, was man machen möchte.
Naja - diese Lösung mit dem xhost + und xhost - sind etwas kritisch. Ein generelles xhost + würde ich immer vermeiden wollen. Die SSH Lösung sollte eigentlich recht flexibel sein, oder sehe ich das falsch? Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Hallo Konrad,
From: "Konrad Neitzel"
grafische Programme mit Rootrechten folgendermaßen aufrufen soll: xhost + su programm exit xhost -
Warum denn noch solche Konstrukte? Warum z.B. nicht eine Lösung per SSH? ssh -l root localhost programm
Korrekt. Aber es gibt, wie in unserer Fa., eben kein ssh auf der Server-Seite bzw. wird nicht unterstützt wohingegen mit rlogin bestimmte Einstellungen vorgenommen werden, die ich nicht kenne. Daher habe ich keine Möglichkeit via ssh -X diese Applikationen zu starten.
Naja - diese Lösung mit dem xhost + und xhost - sind etwas kritisch. Ein generelles xhost + würde ich immer vermeiden wollen.
ACK. Gruß Michael
"Michael Lootz"
From: "Konrad Neitzel"
Warum denn noch solche Konstrukte? Warum z.B. nicht eine Lösung per SSH? ssh -l root localhost programm
Korrekt. Aber es gibt, wie in unserer Fa., eben kein ssh auf der Server-Seite bzw. wird nicht unterstützt wohingegen mit rlogin bestimmte Einstellungen vorgenommen werden, die ich nicht kenne. Daher habe ich keine Möglichkeit via ssh -X diese Applikationen zu starten.
Hmmm - hier sollte man gewissen Verantwortlichen doch einmal vorschlagen, von rlogin auf ssh zu wechseln. Die Sicherheitsproblematik ist doch nicht zu unterschätzen. Aber klaro: Wenn etwas nicht gegeben ist, dann kann man es nicht nutzen :) Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Am Samstag, 20. April 2002 14:07 schrieb A. Bogner:
Am Samstag, 20. April 2002 13:34 schrieb Roland Ehle:
Das ist klar. Ich frage mich, inwieweit sich so ein Attachment selbständig machen kann bzw. die ausführbaren Rechte des users erlangen kann.
Dazu gabs hier ja bereits Antworten - ein Windows-Virus richtet unter Linux nichts an.
Ok, das ist mir soweit auch bekannt. Ich denke aber an eine Kombination. Das Win-Virus kopiert sich unter Linux in diverse Verzeichnisse und wartet bis das Verzeichnis unter Win gestartet wird und ist dann ausführbar.
Ich bin am Überlegen, ob ich 2 user anlegen soll. Einen user mit Internetzugang und keinen Rechten in allen Dateisystemen, die nicht unbedingt gebraucht werden und ein weiterer user mit den gewünschten Rechten für die Daten auf den diversen Partitionen.
Hört sich für mich sinnvoll an.
Es wird natürlich dann umständlicher. Vor kurzem las ich mal irgendwo, das man zB auf F8 ein weiteres X aufmachen kann. Das wäre aber akzeptabel. Würde das Sinn machen?
An den Rechten ändert sich nichts, ob Du X jetzt normal startest oder in einer zusätzlichen Session (F8).
Also für einen weiteren user am selben PC ist eine weitere X-Session nicht möglich? Hey, dann werden bei mir einige user aus Bequemlichkeit ihre Mails zukünftig auf der Konsole schreiben und lesen :-)
Bleiben unter X in einer Konsole irgendwelche Rechte des ursprünglichen users über, wenn man mit su wechselt?
Kommt drauf an wie du mit su wechselst. Wenn du z.B. mit "su - root" zu root wirst, dann hast du eine neue shell mit root Rechten. Wenn du nun aber mit "su root" zu root wirst, so bleibt die shell des Users als der du su ausgefuehrst hast erhalten. Das heisst wenn du nach su der ersten beschrieben Moeglichkeit zu root wirst und dann einfach mal "mail" eingibtst, so rufst du die Mails an root ab. Tippst du "mail" nach nem "su root" eingibtst, so rufst du die Mails des Users ab der durch su zu root gewesen bist. Du bekommst also root Rechte dazu, aber die Loginshell beleibt die Gleiche. Ich hoffe das war jetzt nicht zu umstaendlich ausgedrueckt ;-) Gruss Marius
Am Samstag, 20. April 2002 16:36 schrieb Marius Brehler:
Du bekommst also root Rechte dazu, aber die Loginshell beleibt die Gleiche. Ich hoffe das war jetzt nicht zu umstaendlich ausgedrueckt ;-)
Eigentlich hätte ich daran selber denken können. Das war genau das, was ich hören wollte. Albert
Hallo Marius, * Marius Brehler schrieb am 20.Apr.2002:
Kommt drauf an wie du mit su wechselst. Wenn du z.B. mit "su - root" zu root wirst, dann hast du eine neue shell mit root Rechten. Wenn du nun aber mit "su root" zu root wirst, so bleibt die shell des Users als der du su ausgefuehrst hast erhalten. Das heisst wenn
Entschuldige, aber das ist Quark. Eine neue Shell eröffnest Du in beiden Fällen. Mit su - bzw. su - root eröffnest Du eine Loginshell und mit su bzw. su root eine interaktive shell, die keine Loginshell ist. root brauchst Du nicht anzugeben, es ist der Defaultwert. Nur wenn Du was anderes als root werden willst, dann mußt Du den User angeben.
du nach su der ersten beschrieben Moeglichkeit zu root wirst und dann einfach mal "mail" eingibtst, so rufst du die Mails an root ab. Tippst du "mail" nach nem "su root" eingibtst, so rufst du die Mails des Users ab der durch su zu root gewesen bist. Du bekommst
Das liegt an die verschiedenen Einstellungen. Grundsätzlich ist es so, daß die neue shell bei su ~/.bashrc aufruft, und bei su - /etc/profile und ~/.profile. Allerdings ist es bei SuSE so, daß ~/.profile im Wesentlichen nur ~/.bashrc aufruft und ~/.bashrc ruft /etc/profile auf, falls es noch nicht gelaufen ist.
also root Rechte dazu, aber die Loginshell beleibt die Gleiche. Ich hoffe das war jetzt nicht zu umstaendlich ausgedrueckt ;-)
Bernd -- Hast Du bei Problemen schon in der SuSE-Support-Datenbank (SDB) nachgesehen? Auf Deinem Rechner: http://localhost/doc/sdb/de/html/index.html | mit Apache: http://localhost/doc/sdb/de/html/key_form.html | Zufalls- Tagesaktuell bei SuSE: http://sdb.suse.de/sdb/de/html/index.html | signatur 2
Moin,
* A. Bogner
Was kann ein "böses" email-attachment bei einem user maximal an Schaden anrichten?
Wäre es möglich auf alle Dateien zuzugreifen für die der user Rechte hat und zB diese zu löschen? Ja, in der Regel läuft der MUA mit den Rechten des Benutzers. Darum solltest Du einen MUA benutzen, der solche Attachements schlicht nicht ausführt.
Wie sieht es mit Windows-Viren-Attachments mit einem Linux-MUA aus, wenn Samba installiert ist? Der Anwendung ist es egal, ob ein Verzeichnis mit smbfs oder ext2fs betreiben wird. Ein Windowsvirus läuft unter Linux nicht.
Thorsten -- They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety. - Benjamin Franklin
Am Samstag, 20. April 2002 13:11 schrieb Thorsten Haude:
Was kann ein "böses" email-attachment bei einem user maximal an Schaden anrichten?
Wäre es möglich auf alle Dateien zuzugreifen für die der user Rechte hat und zB diese zu löschen?
Ja, in der Regel läuft der MUA mit den Rechten des Benutzers. Darum solltest Du einen MUA benutzen, der solche Attachements schlicht nicht ausführt.
IMO kann kmail das nicht, oder?
Wie sieht es mit Windows-Viren-Attachments mit einem Linux-MUA aus, wenn Samba installiert ist?
Der Anwendung ist es egal, ob ein Verzeichnis mit smbfs oder ext2fs betreiben wird. Ein Windowsvirus läuft unter Linux nicht.
ACK Ich überlege mir ungefähr folgendes Szenario. Ein Virus oder was immer für ein Böswicht, kommt als email-Attachment unter Linux rein, schafft es auf ein smbfs zu gelangen und kann bei nächster Gelegenheit, wenn jemand unter Win auf dieses smbfs zugreift aktiv werden. Daher nochmals mein Diskussionsanstoß: eigener user nur für Internet? Albert
Daher nochmals mein Diskussionsanstoß: eigener user nur für Internet?
Albert
Wenn du so wichtige Daten auf deinem Rechner hast, würde ich die jeden Tag 2 mal sichern. Wenn man sogar bereit ist, soweit zu gehen einen eigenen Benutzer anlegen zu wollen, wäre es aber vielleicht doch besser gar nicht mit dem Rechner ins Internet zu gehen ... Ich finde das alles sehr übertrieben. Pass einfach ein bißchen mit dem Linux Client auf, von selbst führt AFAIK keiner irgendwelche Attachments aus. Und die meisten Viren etc. kommen eh für Windows raus. Bye Stefan
Am Samstag, 20. April 2002 13:35 schrieb Stefan Leiner:
Wenn du so wichtige Daten auf deinem Rechner hast, würde ich die jeden Tag 2 mal sichern.
So wichtig sind die Daten nicht. Es geht mir eher um das grundsätzliche Verständnis und danach treffe ich die Entscheidungen was für *mich* optimal ist.
Wenn man sogar bereit ist, soweit zu gehen einen eigenen Benutzer anlegen zu wollen, wäre es aber vielleicht doch besser gar nicht mit dem Rechner ins Internet zu gehen ...
Das ist auch eine Frage der Arbeitsweise bzw. was man mit dem PC macht. Wenn der Rechner vom jeweiligen user pro "Sitzung" für differenzierte Anwendungen benutzt wird, muß das gar nicht umständlich sein und reduziert die Wahrscheinlichkeit eines Angriffs.
Ich finde das alles sehr übertrieben.
Mir geht es in dem Thread um das Erkennen der Grenzen bzw. des Möglichen.
Pass einfach ein bißchen mit dem Linux Client auf, von selbst führt AFAIK keiner irgendwelche Attachments aus.
Bist Du Dir da sicher, dass von selbst ein Attachments keinesfalls ausführbar ist? Das ist nämlich ganz entscheidend. Für mich kann ich ausschließen, das ich kein Attachment unbeabsichtigt ausführe. Für die restlichen user aber leider nicht.
Und die meisten Viren etc. kommen eh für Windows raus.
Klar. IMO gibt es zur Zeit keine Linux-Viren mit aktuellen Systemen. Albert
Am Samstag, 20. April 2002 13:46 schrieb A. Bogner:
Ich überlege mir ungefähr folgendes Szenario. Ein Virus oder was immer für ein Böswicht, kommt als email-Attachment unter Linux rein, schafft es auf ein smbfs zu gelangen und kann bei nächster
Wie soll denn eine Attachement (ist ja nur ein UU- oder Mimecodierte File) irgendwo hingelangen, wenn es keiner da hinkopiert? Sicher wäre ein verschicktes Shellscript oder Programm möglich, das, wenn man es ausführt, nach solchen Verzeichnissen sucht und dort einen Windows-Virus hinterlegt. Erstens müsste das Attachement dann ausgeführt werden (kein mir bekannter Linux-MUA macht sowas) und zweitens halte ich es für sehr sehr unwahrscheinlich, dass ein Virenprogrammierer sowohl Windows, als auch Linuxkenntnisse hat und sich diese Mühe macht, für eine derart kleine Zielgruppe macht. Wie viele Leute gibts denn, die auf nem Linux-Samba-Server Mails lesen und es an der Intellegenz mangeln lassen, Attachements eben nicht auszuführen.
Gelegenheit, wenn jemand unter Win auf dieses smbfs zugreift aktiv werden.
Denkbar ist alles, wahrscheinlichkeit dürfte aber nicht halb so hoch sein, wie von einer Ameise zertreten zu werden ;-)
Daher nochmals mein Diskussionsanstoß: eigener user nur für Internet?
Wenn Du keine Attachements ausführst ist es nicht notwendig, schaden kanns aber nicht. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
A. Bogner wrote:
Was kann ein "böses" email-attachment bei einem user maximal an Schaden anrichten? Wäre es möglich auf alle Dateien zuzugreifen für die der user Rechte hat und zB diese zu löschen? Theoretisch ja, aber Leserechte reichen da nicht! :) Das System kann es aber nicht schrotten, wenn du nur ein normaler Benutzer bist! Dazu hast ein Otto-Normal_user unter Linux zu "wenig" Rechte und das ist gut so!
Wie sieht es mit Windows-Viren-Attachments mit einem Linux-MUA aus, wenn Samba installiert ist? Das sagt gar nix. Windows-Viren laufen nicht unter Linux.
Wenn du allerdings ein Laufwerk mit Samba gemountet hast, dann haben da oft auch normale User genug Rechte um alles zu löschen. Da musst du also aufpassen. Viele Grüße Christian
Am Samstag, 20. April 2002 12:53 schrieb A. Bogner:
Was kann ein "böses" email-attachment bei einem user maximal an Schaden anrichten?
- Alle Dateien, die der Benutzer bearbeiten darf, löschen, verändern oder woanders hin verschicken. - Über so "sinnvolle" Verzeichnisse wie .kde/Autostart alle möglichen Programme automatisch starten lassen und so z.B. auch verschlüsselte Emails lesen, sowie Passwörter abfangen. - Wenn auf dem System nicht kontinuierlich Sicherheitsupdates eingespielt werden, besteht die Möglichkeit, daß local root exploits anwendbar sind. Dann hat das "email-attachement" alle Rechte.
Wäre es möglich auf alle Dateien zuzugreifen für die der user Rechte hat und zB diese zu löschen?
Ja. Alle daten, auf die der User write Rechte hat. Lese Rechte langen nicht zum löschen aus. (aber z.B. zum Posten in Newsgroups ;-)
Wie sieht es mit Windows-Viren-Attachments mit einem Linux-MUA aus, wenn Samba installiert ist?
Die Windowsviren können das Linux System nicht befallen. (Ich hoffe zumindest, daß die Word-Makro Unterstützung in z.B. Openoffice noch nicht so gut ist ;-)) Windowsrechner, die die Daten von dem Samba Server beziehen sind jedoch gefährdet. Gruß, Matthias -- "Error Message: Your Password Must Be at Least 18770 Characters and Cannot Repeat Any of Your Previous 30689 Passwords (Q276304)" http://support.microsoft.com/default.aspx?scid=kb;EN-US;q276304
Am Samstag, 20. April 2002 14:43 schrieb Matthias Wieser:
- Alle Dateien, die der Benutzer bearbeiten darf, löschen, verändern oder woanders hin verschicken. - Über so "sinnvolle" Verzeichnisse wie .kde/Autostart alle möglichen Programme automatisch starten lassen und so z.B. auch verschlüsselte Emails lesen, sowie Passwörter abfangen. - Wenn auf dem System nicht kontinuierlich Sicherheitsupdates eingespielt werden, besteht die Möglichkeit, daß local root exploits anwendbar sind. Dann hat das "email-attachement" alle Rechte.
Wäre es möglich auf alle Dateien zuzugreifen für die der user Rechte hat und zB diese zu löschen?
Ja. Alle daten, auf die der User write Rechte hat.
Windowsrechner, die die Daten von dem Samba Server beziehen sind jedoch gefährdet.
Danke Matthias, genau das dachte ich mir auch, war mir aber nicht sicher. Damit verdoppeln sich vielleicht in Zukunft einige meiner user :-) Bleibt für mich die Frage, ob vielleicht mit su eine Unsicherheit verbunden ist. Szenario: User xy wählt sich jenach voraussichtlicher Tätigkeit als Internetuser: xy-net oder als "normaler" User: xy unter X ein. Benötigt er etwas vom "anderen" user, so macht er eine Konsole auf, gibt su xy bzw su xy-net ein und führt dort die entsprechende Aktion durch. Und übrigens: Meine Daten sind nicht so wichtig, die Problematik interessiert mich eher aus organisatorischen Gründen. Meine Daten werden täglich automatisch auf unterschiedliche HDs gesichert und je nach Veränderung auch gebrannt. Eine formatierte HD, wäre also keine Katastrophe. Albert
* A. Bogner schrieb am 20.Apr.2002: Hier sollte Dein Realname stehen, also A ausgeschrieben.
Am Samstag, 20. April 2002 14:43 schrieb Matthias Wieser:
Bleibt für mich die Frage, ob vielleicht mit su eine Unsicherheit verbunden ist.
Welche Unsicherheit.
Szenario: User xy wählt sich jenach voraussichtlicher Tätigkeit als Internetuser: xy-net oder als "normaler" User: xy unter X ein. Benötigt er etwas vom "anderen" user, so macht er eine Konsole auf, gibt su xy bzw su xy-net ein und führt dort die entsprechende Aktion durch.
Und übrigens: Meine Daten sind nicht so wichtig, die Problematik interessiert mich eher aus organisatorischen Gründen. Meine Daten werden täglich automatisch auf unterschiedliche HDs gesichert und je nach Veränderung auch gebrannt. Eine formatierte HD, wäre also keine Katastrophe.
Du willst Dir ganz dringend ein gutes UNIX-Administrationsbuch kaufen. Bernd -- Hast Du bei Problemen schon in der SuSE-Support-Datenbank (SDB) nachgesehen? Auf Deinem Rechner: http://localhost/doc/sdb/de/html/index.html | mit Apache: http://localhost/doc/sdb/de/html/key_form.html | Zufalls- Tagesaktuell bei SuSE: http://sdb.suse.de/sdb/de/html/index.html | signatur 2
Am Samstag, 20. April 2002 17:08 schrieb Bernd Brodesser:
* A. Bogner schrieb am 20.Apr.2002: Hier sollte Dein Realname stehen, also A ausgeschrieben.
Der nicht ausgeschriebene Vorname hat sich im Usenet als Spamschutz gut bewährt. Da habe ich folgende Signatur: "Antworten per Mail müssen im Text meinen vollständigen Vornamen enthalten um gelesen zu werden!" Privatmails enthalten normalerweise eine Anrede mit dem Vornamen, der im Text erwähnt ist. Spammails verwenden die Header-Informationen. Somit kann ich relativ leicht spam ausfiltern, indem ich nach dem Vornamen abfrage.
Du willst Dir ganz dringend ein gutes UNIX-Administrationsbuch kaufen.
Und das wäre? Albert
* A. Bogner schrieb am 20.Apr.2002:
Am Samstag, 20. April 2002 17:08 schrieb Bernd Brodesser:
* A. Bogner schrieb am 20.Apr.2002: Hier sollte Dein Realname stehen, also A ausgeschrieben.
Der nicht ausgeschriebene Vorname hat sich im Usenet als Spamschutz gut bewährt.
Da habe ich folgende Signatur: "Antworten per Mail müssen im Text meinen vollständigen Vornamen enthalten um gelesen zu werden!"
Du glaubst doch nicht im Ernst, daß ich anfange im Header rumzufummeln, nur damit Du Deine Mail auch liest.
Privatmails enthalten normalerweise eine Anrede mit dem Vornamen, der im Text erwähnt ist. Spammails verwenden die Header-Informationen. Somit kann ich relativ leicht spam ausfiltern, indem ich nach dem Vornamen abfrage.
Kauf Dir eine eigene Adresse für sowas.
Du willst Dir ganz dringend ein gutes UNIX-Administrationsbuch kaufen.
Und das wäre?
Schwer zu sagen. Ich würde Dir den Gulbins empfehlen, aber leider nicht mehr aktuell. Letzte Ausgabe von 1995. Es gibt auch spezielle Administratorbücher, aber da muß man auch suchen. Kernelinterna sind ja wohl nicht das was Du suchst. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9
Am Samstag, 20. April 2002 18:19 schrieb Bernd Brodesser: Hallo Bernd!
Hier sollte Dein Realname stehen, also A ausgeschrieben.
"Antworten per Mail müssen im Text meinen vollständigen Vornamen enthalten um gelesen zu werden!"
Du glaubst doch nicht im Ernst, daß ich anfange im Header rumzufummeln, nur damit Du Deine Mail auch liest.
Ich will ja nicht stur sein, und habe meinen Header angepasst. Ich hoffe, das Namensabkürzungen Deinem Realname-Verständnis nicht entgegen stehen, oder regst Du Dich auch darüber auf, wenn ein Johann sich als Hans ausgibt? Liest Du auch vorher worauf Du antwortest? Wo steht, das Du im Header rumfummeln sollst? Ein Nicht-Spammer wird bei meinem Mail, ganz normal reply auswählen und dann wie üblich eine Anrede in der Art "Hallo Albert" schreiben. Der Spammer schickt eine Mail an meine email-Adresse und schreibt eben nicht "Hallo Albert", sondern bestenfalls "Hallo A." und nun "Hallo Al" :-). Der Filter sucht in Verbindung mit der entsprechenden email-Adresse im Text nach Albert bzw. nach der Mailingliste, kommt Albert bzw. die ML nicht vor geht es ab in den Papierkorb.
Kauf Dir eine eigene Adresse für sowas.
Das *ist* eine eigene Adresse dafür. Vor Spam schützt das aber auch nicht. Bitte hier eod. Wenn Du dazu noch was zu sagen hast, dann bitte PM. Eine Realname-Diskussion macht die Liste nicht lesbarer. Albert
* Al Bogner schrieb am 21.Apr.2002:
Am Samstag, 20. April 2002 18:19 schrieb Bernd Brodesser:
Hier sollte Dein Realname stehen, also A ausgeschrieben.
"Antworten per Mail müssen im Text meinen vollständigen Vornamen enthalten um gelesen zu werden!"
Du glaubst doch nicht im Ernst, daß ich anfange im Header rumzufummeln, nur damit Du Deine Mail auch liest.
Ich will ja nicht stur sein, und habe meinen Header angepasst. Ich hoffe, das Namensabkürzungen Deinem Realname-Verständnis nicht entgegen stehen, oder regst Du Dich auch darüber auf, wenn ein Johann sich als Hans ausgibt?
Liest Du auch vorher worauf Du antwortest? Wo steht, das Du im Header rumfummeln sollst?
Ich meinte, wenn ich Dir eine Privatmail zukommen lassen will. Wenn ich Dich richtig verstanden habe, dann filterst Du mich raus, wenn ich nicht Deinen Namen ändere. Bernd -- Bei Fragen an die Liste erst mal nachschauen, ob es diese Frage nicht schon einmal gegeben hat. Ein Archiv der Liste findest Du auf: http://lists.suse.com/archives/suse-linux |Zufallssignatur 7
Moin Bernd,
* Bernd Brodesser
* Al Bogner schrieb am 21.Apr.2002:
Wo steht, das Du im Header rumfummeln sollst? Ich meinte, wenn ich Dir eine Privatmail zukommen lassen will. Wenn ich Dich richtig verstanden habe, dann filterst Du mich raus, wenn ich nicht Deinen Namen ändere. Der Name muß im Body der Mail auftauchen, so wie oben Deiner steht.
Thorsten -- There is no drug known to man which becomes safer when its production and distribution are handed over to criminals.
On Sun, 21 Apr 2002 at 12:41 (+0200), Al Bogner wrote:
Am Samstag, 20. April 2002 18:19 schrieb Bernd Brodesser:
Hier sollte Dein Realname stehen, also A ausgeschrieben.
"Antworten per Mail müssen im Text meinen vollständigen Vornamen enthalten um gelesen zu werden!"
Du glaubst doch nicht im Ernst, daß ich anfange im Header rumzufummeln, nur damit Du Deine Mail auch liest.
Ich will ja nicht stur sein, und habe meinen Header angepasst. Ich hoffe, das Namensabkürzungen Deinem Realname-Verständnis nicht entgegen stehen, oder regst Du Dich auch darüber auf, wenn ein Johann sich als Hans ausgibt?
Liest Du auch vorher worauf Du antwortest? Wo steht, das Du im Header rumfummeln sollst?
Ein Nicht-Spammer wird bei meinem Mail, ganz normal reply auswählen und dann wie üblich eine Anrede in der Art "Hallo Albert" schreiben.
Aha. Und was ist, wenn der einfach nur "Hallo" oder "Hi" verwendet? Dann filterst Du ihn. Das hat nichts mit Spamschutz zu tun. Ich schreibe oft private Mails, in denen nicht unbedingt der Vorname drin vorkommt. Und? Es gibt wirkungsvolleren Spamschutz, z. B. empfehle ich Spamblock [1]. Hat bis jetzt (14 Tage) schon 50 Spam-Mails herausgefintert, darunter keine einzige "richtige" Mail und nur um die 2 Spams durchgelassen -- und das ohne so einen Käse. Gruß, Bernhard [1] http://www.belwue.de/support/spamblock.html -- Win95 is not a virus; a virus does something.
Moin,
* A. Bogner
Am Samstag, 20. April 2002 17:08 schrieb Bernd Brodesser:
Du willst Dir ganz dringend ein gutes UNIX-Administrationsbuch kaufen. Und das wäre? Häufig empfohlen werden das Purple Book (Nemeth et al.) und Essential System Administration von Frisch.
Thorsten -- He who receives an idea from me, receives instruction himself without lessening mine; as he who lights his taper at mine, receives light without darkening me. - Thomas Jefferson
Am Samstag, 20. April 2002 15:29 schrieb A. Bogner:
Und übrigens: Meine Daten sind nicht so wichtig, die Problematik [...] je nach Veränderung auch gebrannt. Eine formatierte HD, wäre also keine Katastrophe.
Auch ein PC ohne wichtige Daten kann sehr viel Ärger machen, wenn jamand anderes dort Dateien ablegt, deren Besitz in D strafbar ist. Da denkt man nur häufig nicht dran. Gruß, Matthias
participants (17)
-
A. Bogner
-
Al Bogner
-
B.Brodesser@t-online.de
-
Bernhard Walle
-
Christian Boltz
-
Christian Lange
-
Heiner Lamprecht
-
Konrad Neitzel
-
Manfred Tremmel
-
Marius Brehler
-
Matthias Wieser
-
Michael Hilscher
-
Michael Lootz
-
Roland Ehle
-
Stefan Leiner
-
Thomas Föcking
-
Thorsten Haude