Warum startet root-Prozess mit user nobody ?
Hallo Liste, ich benutze unter KDE den xscreensaver. Das funktioniert für einen normalen User auch prima. Xscreensaver wird ueber die .xinitrc des Users gestartet und holt sich die Konfiguration aus der Configdatei .xscreensaver des Users. Wenn ich mich als root in KDE einlogge wird xscreensaver immer für nobody ge- startet. Kann mir jemand erklaeren, warum das so ist ? Ciao, Rainer --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Wed, May 24, 2000 Rainer Brall wrote:
ich benutze unter KDE den xscreensaver. Das funktioniert für einen normalen User auch prima. Xscreensaver wird ueber die .xinitrc des Users gestartet und holt sich die Konfiguration aus der Configdatei .xscreensaver des Users. Wenn ich mich als root in KDE einlogge wird xscreensaver immer für nobody ge- startet. Kann mir jemand erklaeren, warum das so ist ?
auszug aus setuid.c von xscreensaver: <snip> [...] /* If we're running as root, switch to a safer user. This is above and beyond the fact that we've disabling locking, above -- the theory is that running graphics demos as root is just always a stupid thing to do, since they have probably never been security reviewed and are more likely to be buggy than just about any other kind of program. (And that assumes non-malicious code. There are also attacks here.) *** WARNING: DO NOT DISABLE THIS CODE! If you do so, you will open a security hole. See the sections of the xscreensaver manual titled "LOCKING AND ROOT LOGINS", and "USING XDM". */ [...] </snip> -moritz -- Moritz Schulte - hp9001.fh-bielefeld.de/~moritz/, PGP Key available| ---- Zufallssignatur #25: -----------------------------------------| % \(- | bash: (-: command not found | --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Moritz Schulte schrieb in 1,6K (40 Zeilen):
On Wed, May 24, 2000 Rainer Brall wrote:
der Configdatei .xscreensaver des Users. Wenn ich mich als root in KDE einlogge wird xscreensaver immer für nobody ge- startet. Kann mir jemand erklaeren, warum das so ist ?
auszug aus setuid.c von xscreensaver:
/* If we're running as root, switch to a safer user. This is above and beyond the fact that we've disabling locking, above -- the theory is that running graphics demos as root is just always a stupid thing to do, since they have probably never been security reviewed and are more likely to be buggy than just about any other kind of program. (And that assumes non-malicious code. There are also attacks here.)
In anderen Worten, dein Fehler ist es, als *root* X zu starten. Dein noch *groesserer* Fehler ist es, als *root* KDE zu starten! (Das faellt schon unter grob fahrlaessig, wie ein Auto ohne Bremse zu fahren.) Dann auch noch xscreensaver zu starten, ist ... -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
-----Ursprüngliche Nachricht----- Von: Wolfgang Weisselberg [mailto:weissel@netcologne.de] Gesendet: Samstag, 3. Juni 2000 19:22 An: suse-linux@suse.de Betreff: Re: Warum startet root-Prozess mit user nobody ?
In anderen Worten, dein Fehler ist es, als *root* X zu starten. Dein noch *groesserer* Fehler ist es, als *root* KDE zu starten! (Das faellt schon unter grob fahrlaessig, wie ein Auto ohne Bremse zu fahren.) Dann auch noch xscreensaver zu starten, ist ...
Hmm, die Worte hör ich wohl, allein mir fehlt der Sinn...:-) Was ist das Problem beim starten von KDE als root? Ergeben sich hier irgendwelche Sicherheitsprobleme? Hans-Bert Jung Mail:juhome@gmx.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hans-Bert Jung schrieb in 0,9K (26 Zeilen):
Von: Wolfgang Weisselberg [mailto:weissel@netcologne.de] [--Urspr... kann alles WEG, nur diese "Von:-Zeile ist von Noeten]
In anderen Worten, dein Fehler ist es, als *root* X zu starten. Dein noch *groesserer* Fehler ist es, als *root* KDE zu starten! (Das faellt schon unter grob fahrlaessig, wie ein Auto ohne Bremse zu fahren.) Dann auch noch xscreensaver zu starten, ist ...
Hmm, die Worte hör ich wohl, allein mir fehlt der Sinn...:-) Was ist das Problem beim starten von KDE als root? Ergeben sich hier irgendwelche Sicherheitsprobleme?
Glaubst du, dass KDE auf Bufferueberlaeufe, andere Sicherheitsrisiken und Programmfehler getestet wurde? Glaubst du, dass das fuer X gilt? Das ist wie Sex ohne Kondom bei wechselnden Partnern. Es kann gut gehen, aber du kannst dir auch AIDS und andere Krankheiten holen ... und dann ist der Katzenjammer gross. Ich hoffe, du hast ein frisches Komplettbackup deiner Platte, samt Partitionstabelle, und kannst deinem ISP erklaeren, wieso der DDOS-Angriff auf Yahoo/ebay/whoever auch von deinem Rechner ausging ... und was die Kinderpornos und Drohbriefe sollten. Die Regel heisst 'Safer Computing' und das heisst: - das *MINIMUM* an Rechten fuer jeden User und jeden Task - *insbesondere* nie als Root (UID 0) irgendetwas tuen, was nicht auch ein User (UID != 0) tuen kann Man kann Manpages machen, die einen (alten, bekannten, hoffendlich behobenen) Bug in 'man' oder 'troff' ausnutzen und code ausfuehren. Was, wenn es einen neuen, noch nicht behobenen Bug gibt? Was, wenn es derartig nutzbare Bugs in X oder KDE gibt? (Und glaube mir, es *gibt* sie! X ist *FETT*, KDE ist nicht fett, KDE ist ein 120-tonner! Massig Raum fuer bugs!) Was, wenn dann jemand damit in /etc/passwd oder /dev/hda spuckt? Was, wenn jemand dir was unterjubelt? Der Besitz von KiPo ist strafbar. Und hinter schwedischen Gardinen ist der email-Empfang ziemlich schlecht, zumal du deinen Rechner nie wieder sehen wirst (konfisziert. Beweismittel. Fuer ein paar Jahre.) Wenn du wirklich immer unter root arbeiten willst, empfehle ich Win 9[58] und ILOVEYOU & friends. -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (4)
-
juhome@gmx.de
-
moritz@hp9001.fh-bielefeld.de
-
Rainer.Brall@xrite.de
-
weissel@netcologne.de