[lug-ld] 100 Punkte an Christian B. für Bsp. "schreiben/lesen in /tmp"

Pahle Heinz heinz.pahle at gmx.de
So Okt 23 21:48:21 CEST 2022


Lieber Christian Boltz, liebe LUGer,

(sehr) gute Beispiele erklären mehr als 1000 Worte (bei denen ich nicht
recht verstand). Ich bin total begeistert vom Spezial-Beispiel Christian
B. "alle dürfen in /tmp schreiben/lesen" (und was kann pasieren, wenn
ein böser Bube...). Es geht eigentlich um Einträge in die PATH-Variable.

Für mich stellen sich dennoch Fragen, was einem Rütteln am Beispiel
gleich kommt: Multiuser auf Desktop-Systemen, die eigentlich "personal"
sind? Das Beispiel ist wohl eher für Server relevant. Oder hat ein LUGer
zuhause am PC unter Linux noch extra Terminals, also komplette Konsolen,
angedockt und einige hacken gleichzeitig? Ich glaube es erst einmal nicht.
Bei Desktop-PCs als Familienrechner kann man zwar nicht von
Multiusersystem nach Definition sprechen, aber das Problem, wie es
Christian beschrieb kann auch bei mehr als einem Benutzer (hier
nacheinander arbeitend) eintreten. Eine Verhinderung mit
Lese-/Schreiberecht ist bei Windows via Freigabe möglich. Auf die
Schnelle habe ich keine Möglichkeit gesehen, wie man ausführbare Apps
aussperren kann, also, Unheil nicht ausgeschlossen. Diese Unheil habe
ich bis dato ignoriert. Außerhalb der Freigabe-Möglichkeit gibt es noch
die Standard-Rechtevergabe, bei der auch "ausführbar zulassen/verbieten"
vorkommt. Da hat sich, auf die Schnelle nachgesehen, Wichtiges
wechselweise ausgeschlossen (geht möglicherweise doch). Ich gebe mich
jetzt als Gutgläubiger, dem keine bösen Apps in Daten-dirs eingestreut
werden. Es gibt privat auch keine Sabateure, die, weil sie gefeuert
werden, noch kräftig Unheil anrichten (oder maqcht das Sohnemann, dem
man das Taschengeld kürzt?). Eine Umfrage bei Freunden ergab, dass die
(Freunde) sich eher aus Dusseligkeit Dateien geplättet haben.

Zusammengefasst bei Windows:
Das gezeigte Problem von Christian, bleibt ungelöst. D.h.: Gemeinsame
Daten-Bereiche sind nach meinem Wissensstand gefährdet, NICHT JEDOCH DIE
GEKAPSELTEN BENUTZERBEREICHE.
Dennoch Lichtblick:
Bei Apps, wie z.B. Office-Paketen werden bereits Berechtigungen
eingebaut und diese Bereiche sind nur mit Dokumenten gefüllt und die
Dateien können nur von Office-Apps geöffnet werden. Ein
einschleußen/ausführen böser Apps ist damit nicht möglich. Klar,
Standardeinbruchstellen, wie "buffer overflow" darf es nicht geben.
Ich gehe davon aus, dass sich MS auf BS-Ebene nicht um GEMEINSAME
Datenbereiche kümmert, verlagert diese Sicherheit in Apps. Das
bestätigte sich. Ich habe experimentiert und bemerkt, dass eine
Rechtvergabe von meinen eigenen "Terminal-"Apps bachtet wurde, nicht
jedoch von GUI-Apps.

Gruß Heinz

PS:
Lieber Christian, bleibe bei lebendigen Beispielen, wie Du die auch bei
Zusammenkünften "raus haust". Außerdem sind (Code-)Beispiele beste
Vorgaben, um den Mitbewerb zu testen :))



Mehr Informationen über die Mailingliste lug-ld