Security fail pt2: Userauthentifizierung in BASH

Posted on the April 13th, 2010 under allgemein,hacks,howtos,tipps,wissen by stefan

Um die Security awareness etwas zu erhöhen, habe ich überlegt, noch ein paar witzige Schnippsel zu posten! Vielleicht entdeckt ja jemand auch etwas, das er selbst mal gemacht hat! ;)

Hier folgt nun ein sinngemäßer Auszug aus einem Script, das bei einem ISP sehr kritische Aktionen für Domains ausführt:




#!/bin/bash
if [ "$USER" != "franz" ] && [ "$USER" != "karl" ]
then
echo "Zugriff verweigert."
else
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi

Wichtig ist hier vor allem das Audit Log. Umgehen kann man es jedoch trivial:

USER=franz ./domain-delete.sh [domain]

Leider bedachte der Programmierer nicht, dass $USER natürlich trivial von jedem Shelluser geändert werden kann. Das Audit-Log würde ggfs. sehr unerfreuliche Folgen haben.

Bessere Lösung: sudo benutzen und nur den zwei Usern, die es wirklich benötigen, Rechte auf das Script gewähren.

|

8 Responses to 'Security fail pt2: Userauthentifizierung in BASH'

Subscribe to comments with RSS
  1. 13. April 2010 at 20:25
    Andreas

    oder sich mal op anschauen. Auch sehr nett und es hat mittlerweile den Vorzug vor sudo bei mir bekommen.

  2. 13. April 2010 at 20:33
    Christian

    Ähm, mal ganz doof, reichts nicht eine Gruppe für die beiden anzulegen (Beispiel suser), dann chown root:suser domain-delete.sh gefolgt von chmod 750 domain-delete.sh

    Nur mal so ne Überlegung…

  3. 13. April 2010 at 21:37
    Frank

    Gruppen haben das Problem, dass sie z.B. über NFS zahlenmäßig limitiert sind. Außerdem verliert man schnell den Überblick für was die Gruppe gut war, gerade wenn man für jeden Kleinsch… eine Neue anlegt.

  4. 13. April 2010 at 21:48
    stefan

    @Christian: ja, aber man möchte ein Audit-Log schreiben, daher der Vorschlag, sudo zu benutzen. Außerdem soll ja der User vielleicht garnicht sehen können, was in der Datei steht, daher wäre 750 vielleicht eher ungünstig.

    Prinzipiell hast du natürlich recht, es geht auch anders, je nach Use-Case usw. :)

    @Frank: naja, so schnell wird man hier wohl nicht an das Gruppenlimit kommen! ;)
    Außerdem: Doku schreiben, in der steht, was warum eingerichtet wurde, sollte man schon, alles andere gehört sich nicht, sofern man den Anspruch hat, professionell zu sein…

  5. 13. April 2010 at 22:11
    Frank

    @Stefan: da kommt man extrem schnell hin. Standard sind nämlich nur 16 Gruppen, IIRC.

    Ich hatte über NFS mal eine kleine Nutzerstruktur aufgebaut, wo es so ca. 8-10 Gruppen gab und die Nutzer in verschiedener Kombination etwas auf dem NFS Server zugreifen sollten. Da musste dann ein Patch ran, ansonsten fehlten den einzelnen Nutzern ein oder zwei Gruppen, sprich das meiste ging, aber ein paar Verzeichnisse waren nicht zugreifbar…

    Mit der Doku geb ich dir prinzipiell Recht, aber /etc/sudoers zählt doch eigentlich als Doku ;)

  6. 14. April 2010 at 05:12
    Claus

    Nicht dass es eine große Rolle spielt, aber in der if-Bedingung müßte es AFAIK “&&” heißen, denn eine der beiden Bedingungen wird immer TRUE ergeben…

  7. 14. April 2010 at 11:20
    Tim

    Oder statt mit $USER einfach mit dem netten Befehl id -n arbeiten, der lässt sich imho nicht so leicht fälschen…

  8. 14. April 2010 at 16:37
    stefan

    @Claus: klar! Danke.

    @Frank: http://nfsworld.blogspot.com/2005/03/whats-deal-on-16-group-id-limitation.html
    Wow, so eine Altlast – gut, dass ich kein NFS nutzen muss. ;)

    @Tim: Je nach Benutzung schon – siehe nächster Post. ;)

Leave a Reply




XHTML::
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>