Comments on: Was muss gegeben sein, dass CHMOD 777 zur Plage wird? http://stefan.waidele.info/2006/02/20/was-muss-gegeben-sein-dass-chmod-777-zur-plage-wird/ My Virtual Press – because the freedom of press applies only to those who have one. Thu, 22 Jul 2010 09:33:08 +0000 hourly 1 http://wordpress.org/?v=3.0 By: Stefan http://stefan.waidele.info/2006/02/20/was-muss-gegeben-sein-dass-chmod-777-zur-plage-wird/#comment-416 Stefan Mon, 20 Feb 2006 23:55:08 +0000 http://stefan.waidele.info/2006/02/20/was-muss-gegeben-sein-dass-chmod-777-zur-plage-wird/#comment-416 "Es ist doch tatsache, dass ich erst ein Skript auf meinem Server brauche, dass auf dem Server etwas geschrieben werden kann." -> Ja. Und alle die auf dem gleichen Server einen Account haben, können genau diese Skripte erstellen, oder? "Ein anderes Thema mögen shared Server sein, wie man das mit den Feld-Wald-und-Wiesen-Angeboten bei Providern hat." -> Ich ging davon aus, dass Du genau davon schreibst. Wer einen exklusiven Server hat, dem schreibt der Provider ja auch nicht die Zugriffsrechte vor, oder? "Schließlich surft der Admin von seinem Arbeitsplatz nicht selten ins Netz und das recht frei." -> Wohin das führt, das haben wir ja jetzt bei OSX gesehen. Und wir zwei sind uns denke ich auch ziemlich einig, dass Admin-surfen höchst ungesund ist. Deshalb diskutiern wir über Zugriffsrechte... :) “Es ist doch tatsache, dass ich erst ein Skript auf meinem Server brauche, dass auf dem Server etwas geschrieben werden kann.”

-> Ja. Und alle die auf dem gleichen Server einen Account haben, können genau diese Skripte erstellen, oder?

“Ein anderes Thema mögen shared Server sein, wie man das mit den Feld-Wald-und-Wiesen-Angeboten bei Providern hat.”

-> Ich ging davon aus, dass Du genau davon schreibst. Wer einen exklusiven Server hat, dem schreibt der Provider ja auch nicht die Zugriffsrechte vor, oder?

“Schließlich surft der Admin von seinem Arbeitsplatz nicht selten ins Netz und das recht frei.”

-> Wohin das führt, das haben wir ja jetzt bei OSX gesehen. Und wir zwei sind uns denke ich auch ziemlich einig, dass Admin-surfen höchst ungesund ist. Deshalb diskutiern wir über Zugriffsrechte… :)

]]> By: Silke Schümann http://stefan.waidele.info/2006/02/20/was-muss-gegeben-sein-dass-chmod-777-zur-plage-wird/#comment-415 Silke Schümann Mon, 20 Feb 2006 23:27:23 +0000 http://stefan.waidele.info/2006/02/20/was-muss-gegeben-sein-dass-chmod-777-zur-plage-wird/#comment-415 Es ist doch tatsache, dass ich erst ein Skript auf meinem Server brauche, dass auf dem Server etwas geschrieben werden kann. Und auch bei anonymous-FTP braucht man einen Zugang zum Webspace und nicht zum FTP-Space, der völlig separat läuft. Ich habe wirklich nun schon viel gesucht und immer läuft es darauf hinaus, dass mit 777 allein keine Sicherheitslücke vorhanden ist. Ich kann immer noch nicht von einem beliebigen Ort ein Skript starten und in dem Verzeichnis oder in der Datei Änderungen bewirken. Ich benötige entweder schon ein Skript auf meinem Server oder aber einen Zugang, der in der Regel Passwortgeschützt ist. Ein anderes Thema mögen shared Server sein, wie man das mit den Feld-Wald-und-Wiesen-Angeboten bei Providern hat. Aber soweit ich es überblicke gibt es hier hinreichend Möglichkeiten diese Partitionen auf dem Server von einander abzuschotten. Bleibt ein Restrisiko, dass die Abschottung nicht dicht genug ist oder aber dass durch Leichtfertigkeit bei Skripten mit Schreib- upload-Funktionen fremde Skripte geimpft werden können um beim kriminiellen Akt zu bleiben. Hier aber kann ich nur sagen, dass dieses Thema bei allen Software-Themen zum tragen kommt und man sich so oder so immer in einer Wettstreit-Situation steckt. CHMOD 777 kann ich beim besten Willen nicht als so großes Sicherheitsloch sehen, wie es dargestellt wird. Es hat noch keiner klar benennen können, das CHMOD für sich genommen ein Risiko ist. Ich kann CHMOD vollkommen sicher unter bestimmten Voraussetzungen einsetzen, oder doch mit einem absolut vertretbaren Risiko. CHMOD 777 kommt mir vor wie das Thema User-Rechte in großen Firmen. Auch dort werden die Rechte meist mehr als nötig eingeschränkt und die Arbeitflüsse systematisch behindert. Monitoring kann übrigens ohne allzugroßen Aufwand auch unmittelbar per SMS auf jedes Handy aufschlagen, sobald auf die Platte etwas anderes geschrieben wird als die Zugriffslogdatei. Dann haben die kriminellen Subjekte keine 23 Stunden. Sollte jetzt auch hier das Totschlagargument kommen, dass man mein Passwort ausspionieren könnte und man so zugriff erhielte, dann kann ich nur dazu sagen, dass Passwort ausspionieren immer geht und nicht nur bei mir, sondern auch im Herzen des Providers. Schließlich surft der Admin von seinem Arbeitsplatz nicht selten ins Netz und das recht frei. Ich habe bei einem Provider gearbeitet und kenne den Alltag. ;-) Es ist doch tatsache, dass ich erst ein Skript auf meinem Server brauche, dass auf dem Server etwas geschrieben werden kann. Und auch bei anonymous-FTP braucht man einen Zugang zum Webspace und nicht zum FTP-Space, der völlig separat läuft.

Ich habe wirklich nun schon viel gesucht und immer läuft es darauf hinaus, dass mit 777 allein keine Sicherheitslücke vorhanden ist. Ich kann immer noch nicht von einem beliebigen Ort ein Skript starten und in dem Verzeichnis oder in der Datei Änderungen bewirken. Ich benötige entweder schon ein Skript auf meinem Server oder aber einen Zugang, der in der Regel Passwortgeschützt ist.

Ein anderes Thema mögen shared Server sein, wie man das mit den Feld-Wald-und-Wiesen-Angeboten bei Providern hat. Aber soweit ich es überblicke gibt es hier hinreichend Möglichkeiten diese Partitionen auf dem Server von einander abzuschotten.

Bleibt ein Restrisiko, dass die Abschottung nicht dicht genug ist oder aber dass durch Leichtfertigkeit bei Skripten mit Schreib- upload-Funktionen fremde Skripte geimpft werden können um beim kriminiellen Akt zu bleiben.

Hier aber kann ich nur sagen, dass dieses Thema bei allen Software-Themen zum tragen kommt und man sich so oder so immer in einer Wettstreit-Situation steckt.

CHMOD 777 kann ich beim besten Willen nicht als so großes Sicherheitsloch sehen, wie es dargestellt wird. Es hat noch keiner klar benennen können, das CHMOD für sich genommen ein Risiko ist. Ich kann CHMOD vollkommen sicher unter bestimmten Voraussetzungen einsetzen, oder doch mit einem absolut vertretbaren Risiko.

CHMOD 777 kommt mir vor wie das Thema User-Rechte in großen Firmen. Auch dort werden die Rechte meist mehr als nötig eingeschränkt und die Arbeitflüsse systematisch behindert. Monitoring kann übrigens ohne allzugroßen Aufwand auch unmittelbar per SMS auf jedes Handy aufschlagen, sobald auf die Platte etwas anderes geschrieben wird als die Zugriffslogdatei. Dann haben die kriminellen Subjekte keine 23 Stunden.

Sollte jetzt auch hier das Totschlagargument kommen, dass man mein Passwort ausspionieren könnte und man so zugriff erhielte, dann kann ich nur dazu sagen, dass Passwort ausspionieren immer geht und nicht nur bei mir, sondern auch im Herzen des Providers. Schließlich surft der Admin von seinem Arbeitsplatz nicht selten ins Netz und das recht frei. Ich habe bei einem Provider gearbeitet und kenne den Alltag. ;-)

]]>