Wie macht man ein setuid-Perl-Script in 13.1 ?
Hallo, vielleicht erinnert sich noch jemand daran dass es frueher ein suidperl Binary gab das man in solchen perl-Scripts als Shell eingetragen hat. Bei 13.1 gibts das ja nicht mehr. Wie bekommt man hier nun ein Script mit den richtigen UID/GID zum Laufen? "chmod +s" allein reicht scheinbar nicht... -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Oh, der Herr Krawallczynski taucht mal wieder auf ... Am Mon, 13 Oct 2014, Stephan von Krawczynski schrieb:
Genau so wie jedes andere Programm auch (ohne das SUID-Bit zu setzen). RTFM. -dnh -- Wurst: an der Verwesung verhinderte Leichenteile ermordeter Tiere, teilweise in deren eigene Kotkanäle gefülllt. -- Konni Scheller in <1fs4qd1.tndes08fuvb2N%ein_konni@gmx.de> -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 15 Oct 2014 10:05:31 +0200 David Haller <dnh@opensuse.org> wrote:
Oh, Herr Haller aeussert sich wie immer destruktiv. Man kann von Kindern einfach nichts anderes erwarten... Redet wie meist ueber Dinge die er nicht probiert hat. -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 15.10.2014 11:48, schrieb Stephan von Krawczynski:
Hi, naja, rtfm ist nicht ganz unberechtigt. Aus guten Gründen wird das setuid-bit bei scripts grundsätzlich ignoriert. Das ist schon immer (?) so. Gehört einfach zum Linux-Grundwissen. Wenn es nicht ignoriert würde, hieße das quasi, den jeweiligen Interpreter per script in einen setuid-Modus versetzen zu können... das vereinfacht vieles ;-) Letztlich war das suidperl-Binary wohl noch was Schlimmeres: verfütterst Du dem ein böses perl-Script, läuft es dann halt als root. Das kannst Du leicht selbst bauen, indem Du /usr/bin/perl setuid machst. Oder eine Kopie davon, deren höchstgeheimen Namen und Ort nur Du kennst. _Das_willst_Du_nicht_!_ Insoweit ist es nur logisch das David auf die - wenigen und für alle Programme gleichen - Möglichkeiten verweist, so etwas ohne diese "Backdoors" zu bewerkstelligen. An Deiner Stelle würde ich mal über /etc/sudoers (rtfm) nachdenken, wenn es unbedingt root sein muss, ich entsinne mich auch mal, was von einem Perl-Compiler gehört zu haben, der erzeugt dann vielleicht ausführbaren Code, der setuid laufen kann, ob das aber sicher ist? Ich würde eher versuchen, keine root-Rechte zu brauchen und in den unvermeidlichen Fällen authentifiziere ich mich halt. cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 15 Oct 2014 13:00:07 +0200 Joerg Thuemmler <listen@vordruckleitverlag.de> wrote:
Das Problem ist eben nicht so einfach wie der gute Herr Haller denkt. Im speziellen Fall geht es um ein Perl-Skript in einer QMail-Konfiguration. Dieses _muss_ als root laufen, wird aber aufgrund der wirren QMail Systematik als buchstaeblich "jeder User" gestartet - auch als welche die in der lokalen passwd gar nicht vorkommen. Damit faellt eine Konstruktion mit sudo flach. Wer das sudo Man gelesen hat denkt dass das mit targetpw (bzw ohne) ginge. Fakt ist dass das aber nicht geht. Damit geht sudo in so einer Konfiguration eben nicht und damit war die fruehere Idee eines suidperl nicht so abwegig. Laut der (ziemlich unstrukturierten) Perl Doc soll ein neuerer Perl-Interpreter in der Lage sein ein suid-Skript wirklich als suid auszufuehren. Geht aber (wenigstens bei 13.1) auch nicht. Selbstverstaendlich faellt jede interaktive Idee (authentifizieren ...) auch flach. Was bleibt? -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Stephan, Variante 1: suidperl verwenden (Kopie von /usr/bin/perl mit anderen Rechten) und dafür sorgen, dass die Rechte nicht bei Gelegenheit geändert werden (/etc/permissions ...) Variante 2: binary fabrizieren, das mit passenden Rechten perl mit dem Skript aufruft. Um wWelche qmail Komponente geht es? Viele Grüsse Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On 16 Oct 2014 04:02:20 -0000 hamann.w@t-online.de wrote:
Halte ich eher fuer nicht so brillant, weil das jeder fuer fast jeden Zweck benutzen koennte. Klar, es gibt keine User auf dem System, aber das schlechte Gefuehl bleibt.
Variante 2: binary fabrizieren, das mit passenden Rechten perl mit dem Skript aufruft. Um wWelche qmail Komponente geht es?
Geht natuerlich einfach, aber ich frage mich ob es wirklich keine elegantere out-of-the-box-Loesung mehr gibt. Es geht um den Patch qmail-scanner-queue.pl.
Viele Grüsse Wolfgang
-- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
[...]
Eine kurze Frage dazu, da ich selbst ausschließlich postfix nutze: Laut der qmail-scanner Beschreibung soll qmail-scanner doch als Benutzer qscand laufen (http://qmail-scanner.sourceforge.net/ : Remember Qmail-Scanner runs as username qscand). Bist Du sicher das die eigentlich Installation korrekt ist? Gruß Torsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Torsten, der Aufrufer von qmail-scanner läuft aber nicht als qscand, deshalb der andere user per setuid Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Wed, 15 Oct 2014, Stephan von Krawczynski schrieb:
Mitnichten! Du Dumpfbacke solltest mal dein "Hirn" einschalten und meinen Hinweis lesen. Da ich nicht vergessen habe, wie du dich das letzte Mal benahmst, mach ich's dir aber eben nicht zu einfach. In meiner Antwort steckte alles, was du brauchst. Wenn dich das überfordert, verwende MacOS X oder Windows. Aber laß uns hier gefälligst in Ruhe. Achso, es ist übrigens auch nicht verboten, im Listenarchiv oder generell z.B. via Google zu suchen ... Da findest du reichlich Lösungen zu deinem "Problem"... Schon der erste Treffer in einer Suchmaschine nach "suidperl" zeigt dir die Lösung. Kurzum: du bist eine merkbefreite faule Sau, die nicht mal den Wink mit dem ganzen Zaun versteht.
Man kann von Kindern einfach nichts anderes erwarten...
*Muhahahahahaha*
Redet wie meist ueber Dinge die er nicht probiert hat.
Schwachsinn. BTDTGTTS. Kurzum, Krawallczynski, kriech einfach wieder unter deinen Stein! Damit ist dann allen geholfen. -dnh -- There certainly exist people who seem likely to learn faster once their metabolisms have been reorganised in a non-reversible manner. [R. B. West] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 15 Oct 2014 13:46:03 +0200 David Haller <dnh@opensuse.org> wrote:
Bin ich wirklich der einzige hier der diesen Menschen als nicht sozialvertraeglich ansieht? Oder ist das hier die neue Ausdrucksweise bei opensuse? Recht hat wer am wuestesten beschimpft? -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 15.10.2014 um 14:08 schrieb Stephan von Krawczynski: ...
Du bist nicht der Einzige. Wie dieser Mensch ist, weiss ich nicht, aber seine Ausdrucksweise ist ... unangenehm. Auch weil die Beschimpfungen in keiner Weise kreativ sind und somit nicht mal was zum Lernen oder Lachen bieten.... wahrscheinlich läuft einfach gerade was mit seinem Script schief. Hoffentlich lags nicht im boot-Prozess. -- Daniel Bauer photographer Basel Barcelona http://www.daniel-bauer.com room in Barcelona: https://www.airbnb.es/rooms/2416137 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 15.10.2014 um 14:08 schrieb Stephan von Krawczynski:
"Wie man in den Wald hineinruft, so......." -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 15 Oct 2014 19:06:17 +0200 Hugo Egon Maurer <hugomaurer@gmx.de> wrote:
Sie erkennen keinen qualitativen Unterschied zwischen: "Herr Haller aeussert sich wie immer destruktiv." und "Du Dumpfbacke" "du bist eine merkbefreite faule Sau" "kriech einfach wieder unter deinen Stein!" ? So schwer scheint mir der Unterschied zwischen Ironie und Beleidigung nicht erkennbar... -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
------------------------------------------------------ Hallo, Wer hat aber angefangen?,
Genau so wie jedes andere Programm auch (ohne das SUID-Bit zu setzen). RTFM.
hier hab ich keine Ironie bemerkt, dann hast Du so:
Oh, Herr Haller aeussert sich wie immer destruktiv.
geschrieben, nicht ganz unter die Gürtellinie, aber Hand aufs Herz!, wenn Du den oben erwähnten Satz nicht geschrieben hättest, dann hätte er bestimmt nicht unter die Gürtellinie gegriffen. Und außerdem bist Du früher auch nicht konstruktiv mit dieser Liste umgegangen. Ab hier klink ich mich aus dieser Diskussion aus. Noch einen schönen Abend. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo @all! Am 15.10.2014 um 19:26 Uhr schrieb Stephan von Krawczynski:
Ich finde die ganze "Diskussion" ermüdend und völlig überflüssig. "Wir hatten es schonmal besprochen: die Anwender ohne gewisse Haerte gegen sich selbst sind schon lange nicht mehr bei openSUSE. Geblieben sind nur noch Leute die ein gewisses Mass an Eigeninitiative haben und hin und wieder durchaus noch was dazulernen wollen." Dieser Satz, Stephan, kam von dir. Ein RTFM ist doch gar nicht verkehrt - oder ;-) Viele Grüße Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Wed, 15 Oct 2014 19:41:02 +0200 Peter Geerds <linux@himmelsgetrei.de> wrote:
Es tut mir leid, aber das ist nun mal die blanke Wahrheit, und wer nicht erkennen kann warum die originale SuSE GmbH irgendwann kein Bein mehr auf den Boden bekam und deshalb durch immer neue Haende wandert dem ist der Blick darauf wohl durch die eigene Ignoranz verstellt. Firmen werden einfach nicht verkauft weil sie super arbeiten. Und "openSUSE" ist ziemlich eindeutig der simple Versuch Geld zu sparen - und nicht etwa eine geniale Idee ein Produkt zu verbessern. Im uebrigen sehe ich in diesem Zitat keinerlei Argument gegenueber einer verfehlten Ausdrucksweise meinerseits, zumindest kann ich kein "Sau" oder "Dumpfbacke" darin finden. "RTFM" ist heutzutage auch schon ein recht flauer Rat angesichts der komplett verworrenen Dokumentation von Perl in der man es durch eine Vielzahl nichtssagender Querverweise geschafft hat viel Text zu produzieren ohne eine Antwort zu formulieren. Hinsichtlich der Originalfrage meinerseits kann man am Ende per Google nur eines finden, naemlich dass ein tatsaechliches Argument gegen das fruehere suidperl effektiv nicht vorhanden ist weil schon in 50% der Artikel darueber mehrere Moeglichkeiten erklaert werden wie man die anfaengliche theoretische Luecke in recht einfacher Weise schliessen koennte wenn man wollte, was man nicht wollte. Klassisches Perl: Ideologie siegt ueber Anwendung. Die irgendwo vorgeschlagene Variante eine Kopie der perl-Binary per suid selbst root-Rechte zu geben ist eher so etwas wie ein Sargnagel fuer jegliche Sicherheit. Die Variante mit sudo funktioniert nach meinem Test nur auf dem Papier weil sudo ganz offensichtlich nicht dazu zu bewegen ist unbekannte UIDs zuzulassen, jedenfalls scheiterten meine Versuche immer in der klassischen "who are you?" Fehlermeldung von sudo. Es ist halt im Kern eher ein interaktives Tool. Ganz trivial scheint die Frage jedenfalls nicht zu sein weil sich abseits von Beschimpfung und wertloser "RTFM" bisher nichts konkretes als Antwort gefunden hat.
Viele Grüße Peter
-- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 15.10.2014 22:26, schrieb Stephan von Krawczynski:
On Wed, 15 Oct 2014 19:41:02 +0200 Peter Geerds <linux@himmelsgetrei.de> wrote:
... snipp mal diese ganze Befindlichkeitskiste... "RTFM" ist heutzutage auch schon ein recht flauer
... das Ergebnis ist doch nun wirklich klar: Perl kann das nicht mehr, will das nicht mehr können. Der Grund ist wahrscheinlich trivial: niemand von den Entwicklern will so eine Risikokiste noch pflegen. Wenn Du (Stephan) es unbedingt willst, wird Dich niemand daran hindern, einen Fork aufzumachen, wie wärs mit OpenPerl ;-)
Ich, dessen Kenntnisse von Perl (und von vielen anderen Dingen in Linux auch nach 25 Jahren Unix/Linux-Praxis) recht begrenzt sind, bin dankbar wenn Sicherheits-Ideologie über Feature-Fanatismus siegt. Es macht meinen Job einfacher.
Nein, der Unterschied zwischen suidperl und einem /usr/bin/perl mit s-Bit ist am Ende minimal und verschwindet mit der zunehmenden Komplexität und Menge der Perl-Module wohl ganz.
Die Variante mit sudo funktioniert nach meinem Test nur auf dem Papier weil sudo ganz offensichtlich nicht dazu zu bewegen ist unbekannte UIDs zuzulassen,
was sind "unbekannte" UIDs??? Ansonsten ist hier einfach die "Härte gegen sich selbst" beim RTFM von sudo angesagt...
jedenfalls scheiterten meine Versuche immer in der klassischen "who are you?" Fehlermeldung von sudo. Es ist halt im Kern eher ein interaktives Tool.
/etc/sudoers ist in etwa das Gegenteil eines interaktiven tools ...
Vielleicht, weil das, was Du willst, eben eher speziell ist, und die meisten einen anderen Weg dafür gefunden haben...? Ich kenne qmail nicht, aber so ganz sicher bin ich mir nicht, ob ich verstehe, warum scripte eines Mailservers als root laufen müssen. Ich würde auf so etwas lieber verzichten... cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Gepflegte Umgangsformen hin oder her ... Beratungsresistente Fragesteller, freche Antworter, dünnhäutige Computernutzer, sich still zurücklehnende Listennutzer, keine Feedback-Geber, ... Vielleicht einige der Gründe, warum nur noch wenige diese Liste nutzen? Noch vor 10 Jahren war hier _deutlich_ mehr los, der Tonfall ab und an _deutlich_ harscher, die Qualität der Fragen i. d. R. gleich. Persönliche Animositäten nutzen nichts und niemandem ... in schlimmsten Fall hat genau derjenige, gegen den man Scheuklappen aufgesetzt hat, genau die Lösung ;) cu -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Mon, 27 Oct 2014 08:35:51 +0100 "T. Ermlich" <Pelegrine@gmx.net> wrote:
Tja, vielleicht hat der eine oder andere das noch nicht verstanden. Ich frage hier niemals etwas wofuer ich selbst keine Loesung habe. Meine Fragen beziehen sich auf Luecken in der Distribution die der klassische User scheinbar nicht mit derzeitigen "Bordmitteln" loesen kann. Es sind also keine Fragen im eigentlichen Sinn, sondern eher Hinweise auf Luecken die eigentlich nicht da sein sollten. Meine eigenen Loesungen dafuer bestehen in der Regel aus eigenem Code, den ich nicht als das Mass der Dinge ansehe und deshalb nicht verteile. Genau das ist der Grund warum Herr Haller auf meine Fragen immer sehr allergisch reagiert, es gibt naemlich zumeist wirklich keine Loesung in der bestehenden Release. Das ist es was ihn auf die Palme bringt, die immanente Kritik an der jeweiligen Release, nicht die Sachfrage als solche. -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 27.10.2014 09:22, schrieb Stephan von Krawczynski:
Tja, vielleicht ist es eben auch so, dass es nach Linux-Maßstäben (und das heißt ja oft: aus Sicherheitsgründen), für das, was Du willst, auch keine Lösung gegen _soll_ und Du das nicht verstehen willst... Wenn qmail, wie Apache, ftp etc. eben normalerweise nicht als root laufen, dann heißt das eben: es ist nicht wünschenswert, das sie das tun. Und es ist schon eine ziemliche Frechheit, das als "Lücke in der Distribution" zu bezeichnen. Wenn Du die Linux-Sicherheitsstandards gern aufweichen möchtest, tu es, aber wunder Dich nicht, wenn andere das nicht unterstützen wollen. cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Mon, 27 Oct 2014 15:01:52 +0100 Joerg Thuemmler <listen@vordruckleitverlag.de> wrote:
Schon wieder jemand der keine Ahnung hat von der Materie ueber die er redet. Wir reden hier von einem Setup das bei SUSE 11 noch _ging_, jetzt aber nicht mehr. Ich will also nichts "aufweichen", ich will einfach nur genau dasselbe machen koennen wie frueher. Nach Deiner werten Theorie waere es am sichersten einfach alle Autos stillzulegen. Man kann nicht bestreiten dass das Menschenleben rettet, aber leider funktioniert dann auch nur noch recht wenig im Land. Genau von so einem "Sicherheitsstandard" sprechen wir hier. Schliesslich steht es ja jedem frei sowas wie suidperl einfach nicht zu installieren, dann hat man auch niemals ein Sicherheitsproblem damit. Wers braucht oder verwenden will sollte das auch koennen. Nur genau davon reden wir hier. Ich brauche echt niemanden der mir etwas ueber die Sicherheit meines Systems erklaert. Als naechstes kommt dann einer der mir erklaert was ich alles nicht wissen darf weil das sicherer ist ... Je mehr man drueber nachdenkt umso absurder werden Deine Aussprueche. Ist Linux jetzt neuerdings dazu da Loesungen zu verhindern? Ich kann mich noch an Zeiten erinnern wo der Sinn des Systems darin bestand Loesungen zu ermoeglichen die anders eben nicht gingen. Es ging darum konstruktiv zu sein. Und jetzt kommst Du mit der Theorie an es ginge darum etwas zu verhindern was scheinbar nicht einer bestimmten Ideologie entspricht. Aber keiner hinterfragt diese Ideologie. _Das_ ist schockierend. Wo ist "Just for Fun" abgeblieben? -- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Stephan, ich finde diese "Diskussion" inzwischen nur noch peinlich von dir. Am 27.10.2014 um 15:43 Uhr schrieb Stephan von Krawczynski:
Schon wieder jemand der keine Ahnung hat von der Materie ueber die er redet.
Du teilst Beleidigungen aus.
Dein Beispiel stimmt so nicht. Auch das Autofahren hat sich geändert. Oder fährst du immer noch wie in den 70ern mit 60 km/h durch die Stadt? Ich hoffe nicht. So können sich auch die Sicherheitsstandards bei Software & Co ändern. Ein ganz natürlicher Vorgang.
Es steht dir auch frei, die Sourcen zu verwenden und das System in deinem Sinne umzubauen.
Ich brauche echt niemanden der mir etwas ueber die Sicherheit meines Systems erklaert.
Dann ist deine ganze Aufregung ja auch nicht nötig ;-)
Die Ideologie heißt: per default ein sicheres System. Du willst das nicht. Vielleicht solltest du deine eigene Distribution bauen? Frage doch mal in den Foren für Entwickler nach, vielleicht findest du Gleichgesinnte. Ich wünsche dir viel Erfolg damit. Viele Grüße Peter -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 27.10.2014 15:43, schrieb Stephan von Krawczynski:
Danke, dieses Lob würde ich aber gern zurückgeben. Ich kriege langsam das Gefühl, David könnte mit seinen Bezeichnungen für Dich recht haben ;-)
Wenn aber "genau dasselbe" nun als Sicherheitsrisiko erkannt ist, könnte man das Loch doch gestopft haben ... ich bin dankbar, dass seit meiner ersten professionell eingesetzten Suse 6.3 ein paar Löcher gestopft wurden ;-)
Nach Deiner werten Theorie waere es am sichersten einfach alle Autos stillzulegen.
Du kannst nicht lesen. Auch wenn ich persönlich private PKW für sinnlosen Schrott halte, würde ich meine Meinung zur Sicherheit wohl eher so ins Auto-Sprech übersetzen: Am sichersten wäre es, wenn das Auto nicht fahren würde, wenn: - der/die Bremsen, Lenkung, Lampen, Airbags etc. nicht funktionieren, - das Auto unzulässig "getunt" wurde, - dem Fahrer nicht klar ist, wohin er überhaupt will, - der Fahrer mit einer Karte des Deutschen Reiches von 1896 seinen Weg finden möchte - der Fahrer ein bekannter unverantwortlicher Raser ist... [ kann man gerne erweitern ]
Sprichst Du. Ich nicht. Schliesslich steht es ja jedem frei
Wahrscheinlich hat Dir das schon einer erklärt...
Für "just for fun" habe ich einen unprivilegierten User-Account. Qmail mittels setuid wie auch immer zu manipulieren, ist definitiv _nicht_ "just for fun" Niemand hindert Dich daran, was zu tun, wozu Du Lust hast. Du hast ein paar Tipps bekommen, was gehen könnte. Es scheint nur eben nicht das Bedürfnis der Anderen zu sein, daran mitzuwirken. cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Mon, 27 Oct 2014 16:17:06 +0100 Joerg Thuemmler <listen@vordruckleitverlag.de> wrote:
An dieser Stelle wuerde ich sagen ist das Outing erfolgt. Sorry, aber mit jemandem der sowas rauslaesst gibt es keine sachliche Auseinandersetzung. Was kuemmern Dich schon Milliarden Menschen und die Technik die sie einsetzen... Ich rate Dir: geh zu Fuss. Und bei der naechsten Stoerung Deines Fernsehers, Deines Telefons oder Deines Internetanschlusses musst Du halt etwas laenger warten bis jemand mal bei Dir vorbeiradelt. Oder ist das boese Auto dann gut wenn einer Dir helfen soll?
Lesen ist echt nicht Deine Staerke. Sonst haettest Du schon vor zwei Postings verstehen muessen dass es gar nicht um eine Loesung fuer mich geht weil ich die schon hatte bevor ich die Frage hier ueberhaupt reingestellt habe. Nur um das noch gesagt zu haben "Just for Fun" ist ein Buchtitel von jemandem ohne dessen Spass Du kein Geschwafel ueber Fake-Sicherheit rauslassen koenntest.
cu jth
-- MfG, Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Herr von Krawczynski, eigentlich hatte ich diesen Thread nur am Rande verfolgt, aber ich stand vor der Entscheidung ihn zu ignorieren, oder mich zu ärgern. Leider hat "ärgern" gewonnen: <skraw@ithnet.com>:
Du raffst es einfach nicht. Ich mache mal den Autovergleich: - Du hattest einen alten Wagen. Der war mit einer Technik, ausgestattet, die dir das Leben erleichtert hat. - Jemand hat heraus gefunden, dass diese Technik potentiell gefährlich ist, daher wird sie beim Nachfolgemodell nicht mehr eingebaut. - Du kauft das neue Modell und willst Tipps haben, wie du an dem Wagen herumfummeln musst, um die alte Technik wieder zum Laufen zu bekommen. - Dir wird erklärt, dass dies nicht mehr geht, dass es gefährlich ist und dass du andere Möglichkeiten hast. Erinnert mich irgendwie an das Geschreie, als die Gurtpflicht eingeführt wurde, und die Leute bestimmte Dinge nicht mehr machen konnten, weil der Gurt sie dabei behinderte. Und nun stilisiert du dich auch noch zum Anwalt der verzweifelten "klassischen User", die bestimmte Dinge nicht mehr mit Bordmitteln machen können... Zitat aus eine anderen Mail:
Jetzt rede ich mal als "klassischer User" im Sinne von "erfahrener Anwender": Wenn im bisherigen System eine Lücke klafft, dann bin ich froh, wenn ein Kundiger sie findet und abstellt! Wenn ich dadurch an Komfort verliere, ist mir das lieber, als mit solch einer Sicherheitslücke zu leben. Insbesondere da ich als hauptsächlicher _Anwender_ gar nicht über genügend Fachwissen verfüge, um die damit verbundenen Probleme beherrschen zu können. Im schlimmsten Falle muss ich überdenken, ob meine bisherige Vorgehensweise aufgrund dieser Änderung vielleicht die "falsche" war. An diesem Punkt angekommen, kann ich dann _freundlich_ fragen, ob mir jemand auf die Sprünge helfen kann. In praktisch allen Fällen habe ich auf irgendeiner meiner Mailinglisten immer jemanden gefunden, der mir dabei geholfen hat, und sei es nur mit dem richtigen Link zum Selbststudium oder einem Hinweis darauf, wo mein Denkfehler liegt. Das gilt insbesondere auch für David, der mindestens zwei mal meinen viel zu komplizierten Fehlleistungen mit einem kleinen genialen Batch ein Ende setzen konnte und mir damit viel Ärger erspart hat. Zum Tonfall: Wie es in den Wald hinein schallt, ... Will sagen: Wenn ich lautstark die Meinung vertrete, dass alle mir angebotenen Tipps "doof" sind und ich gefälligst die alte Verhaltensweise wieder haben will, dann kommt das schlecht an. Dann auch noch im Namen der "schweigenden Mehrheit" Forderungen zu stellen, macht es nicht besser. Du steckst gerade bis zum Hals im Fettnapf und jedes weitere Gezappel reißt dich tiefer rein. Michael... ...der diesen Thread nun endgültig auf "ignore" stellt... -- ____ / / / / /__/ Michael Höhne / / / / / / mih-hoehne@web.de / ________________________________/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, wo wir schon bei Vergleichen sind, die hinken wie Schnecken mit Holzbeinen[tm]: Am Mon, 27 Oct 2014, Stephan von Krawczynski schrieb:
Sind es *PRIVATE* PKW, wenn die der Fernseher-Techniker oder der Telekomiker (stellvertretend genannt), per PKW vorbeikommen?? Oder nicht doch eher Firmen-PKW/Kleinbusse? Also hier zumindest gurkt der örtliche Elektrohändler in netten Kleinwagen rum, rundum mit Firmenaufdruck ... Und nen Telekomiker, der nicht im Firmenwagen vorfuhr hab ich auch noch nicht gesehen. von Krawallczynski: sie sind raus. Bei Paketdiensten ist das anders... Aber um die ging's hier ja nicht. -dnh -- Zum Tier zu werden ist manchesmal recht menschlich. [WoKo in dag°] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 27.10.2014 17:33, schrieb Stephan von Krawczynski:
Hi, nur noch eine kleine Anmerkung: Das mit dem Privat-PKW habe ich eigentlich nur reingeschrieben, weil ich irgendwie das Gefühl hatte, Du würdest genau so was ablassen... im Allgemeinen dränge ich meine Ansichten sonst nicht so auf ;-) Ach ja, meine Kinder sagen da immer: Heul doch! und abschließend: Willkommen in meinem Killfile, das war schon recht lange verwaist: * P L O N K * jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 28.10.2014 um 07:29 schrieb Joerg Thuemmler: [...]
Respekt, hast gerade mal 15 Tage durchgehalten. :-) Egal, mein Popcorn ist auch schon alle. Programme, Dienste oder auch irgendwelche dubiosen Skripte für einen Dienst, die direkten mit dem Internet kommunizieren und auch noch Root-Rechte haben wollen, sollte man tunlichst die Finger davon lassen. Dann lieber über einen unprivilegierten User laufen lassen. Über das Warum wurde in der Liste schon breit genug erklärt. Ich persönlich finde es eine Frechheit, darauf einzufordern, dass das Sicherheitsrisiko wieder aufgerissen werden soll, nur weil man die Bequemlichkeit gegenüber der Sicherheit des Systems vorziehen möchte und 1000 andere Linux-User womöglich in Gefahr bringt, ohne auch nur über die Sinnhaftigkeit nachzudenken. In der Regel sollte man den Code von qmail überarbeiten, welches ebenso an der problematischen Lizenz scheitern wird und deshalb ist die qmail-Community eher überschaubar. Nur der harte Kern um qmail verteilt einige Patch-Sets für qmail in die weite Welt, um qmail weitere Features zu verpassen. Außerdem wird qmail von Distribution zu Distribution mit unterschiedlichen Feature gepatcht, was für mich schon ein No-Go ist. Ich möchte schon gerne die gleichen Feature distributionsübergreifend verwenden, sonst nagelt man sich an einer einzigen Distribution fest oder muss dann eigene Pakete für die jeweilige Distribution bauen, falls man darin fit ist. Da greife ich nach wie vor lieber zu Postfix, welches aktiv entwickelt und auch für ältere Postfix-Versionen noch weiterhin Patches geben wird. Außerdem kann man dort auch recht bequem x-beliebige Mail-Scanner einbinden, egal ob über Socket, TCP oder FIFO. Übrigens kann qmail von Haus aus immer noch kein IPv6. Postfix kann es schon seit der Version 2.2 (2007). Für qmail spricht das nicht gerade für Aktualität. Bevor die Frage aufkommt, ob ich überhaupt IPv6 nutze. Ja, ich bin standardmäßig an IPv6 angebunden. Wahlweise auch IPv4 über DS-Lite. Mein eigener openSUSE Root-Server im Rechenzentrum kann sowohl IPv4 wie auch IPv6 im echten Dual-Stack-Betrieb kommunizieren und habe eine IPv6-Adresse im /64-Netz. Das entspricht 18.446.744.073.709.551.616 in Worten 18 Trillionen IPv6-Adressen, dass ich zu meinen Lebzeiten nie ausschöpfen werden können. :-) So long! -- Gruß Sebastian - openSUSE Member (Freespacer) Webseite/Blog: <http://www.sebastian-siebert.de> Wichtiger Hinweis zur openSUSE Mailing Liste: <http://de.opensuse.org/openSUSE:Mailinglisten_Netiquette> -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Sebastian Siebert schrieb:
Programme, Dienste oder auch irgendwelche dubiosen Skripte f�r einen >> Dienst, die direkten mit dem Internet kommunizieren und auch noch >> Root-Rechte haben wollen, sollte man tunlichst die Finger davon lassen. >> Dann lieber �ber einen unprivilegierten User laufen lassen. �ber das >> Warum wurde in der Liste schon breit genug erkl�rt.
Hallo Sebastian, es geht hier darum, einem "Plugin" eines mit root-Rechten laufenden Programms diese Rechte zu entziehen. Es wäre wahrscheinlich besser gewesen, in der Plugin Schnittstelle zu eibem anderen User wechseln zu können Viele Grüsse Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 30 Oct 2014 23:18:04 +0100 schrieb Sebastian Siebert <freespacer@gmx.de>:
Doch: Du legst eine IP-Adresse auf das erste Feld eines Schachbretts, dann 2 auf das 2., 4 auf das 3., 8 auf das 4. ... Macht mal normalerweise mit Weizenkörnern ;-) http://de.wikipedia.org/wiki/Sissa_ibn_Dahir#Legende Gruß, Michael -- ____ / / / / /__/ Michael Höhne / / / / / / mih-hoehne@web.de / ________________________________/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (10)
-
Daniel Bauer -
David Haller -
hamann.w@t-online.de -
Hugo Egon Maurer -
Joerg Thuemmler -
Michael Höhne -
Peter Geerds -
Sebastian Siebert -
Stephan von Krawczynski -
T. Ermlich