su braucht suid

Status
Für weitere Antworten geschlossen.

peter120

Benutzer
Mitglied seit
23. Jun 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich habe auf meiner DS211j SSH am Laufen. Dort kann ich mich als User per ssh user@DS einloggen. Nun möchte ich, falls ich administrative Aufgaben habe, per su den User wechseln.

Ich kriege die Meldung:
su: must be suid to work properly

soweit klar.
Auf andern Linux - System läuft su auch suid. Hier ist su aber ein internes Kommando der Busybox.

Muss ich die gesamte Busybox suid setzen?
Möchte ich eigentlich nicht.

Per Google finde ich den Tipp die busybox.conf zu ändern. die gibt es hier aber nicht.

Kann ich die einfach anlegen?

Ich weiß per Telnet ist es einfacher aber auch nicht so sicher.

mfg
Peter
 

mrgorilla

Benutzer
Mitglied seit
29. Dez 2011
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Moin peter120,

hab das auch gerade mal probiert. Dadurch bekam ich allerdings doch ein suid auf busybox. :(

mfg
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
ich gehe auch davon aus, dass du via dem Link die ganze busybox suid gesetzt hast!
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
die ganze busibox auf suid setzen ist nicht gerade ungefährlich ... dann ist jeder ein Administrator, nicht wahr?

Itari
 

mrgorilla

Benutzer
Mitglied seit
29. Dez 2011
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Ganz genau. Deswegen auch mein Post an Peter
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
der Peter kanns ja schnell testen. Als unpriviligierter User anmelden und rm -r /root machen. Ich wette der Ordner ist danach gelöscht ;-)
@peter
prüf das unbedingt und mach das rückgängig wenn die busybox suid ist. Ein grösseres Loch in die Sicherheit kannst du kaum reissen. guck doch mal ob es bei ipkg eventuell su auch gibt. Das wäre ein eigenständiges File welches du problemlos suid machen kannst
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Anmerkung: die Synology-Leute gehen davon aus, dass sich nur der User 'root' per telnet/ssh anmeldet und keine anderen User

Itari
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@itari
nicht vergessen, dass es nicht unbedingt einen Login dazu braucht. Das suid auf busybox würde es doch auch z.B. dem nobody oder postfix erlauben mehr oder weniger als admin zu fungieren. Dann noch eine Lücke im Apache oder Postfix... ;-)
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
@itari
nicht vergessen, dass es nicht unbedingt einen Login dazu braucht. Das suid auf busybox würde es doch auch z.B. dem nobody oder postfix erlauben mehr oder weniger als admin zu fungieren. Dann noch eine Lücke im Apache oder Postfix... ;-)

jeder Server (ich meine damit die Server-Programme), der über eine /bin/ash gestartet wird, hätte potentiell die Macht (der dunklen Seite)

Itari
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Mir würden auch so ein oder zwei Möglichkeiten einfallen, die man auf einem so konfigurierten Server mal probieren müsste ;-) Einfacher kann man es einem Eindringling auf keinen Fall machen um an root Rechte zu kommen :)
 

momoleta

Benutzer
Mitglied seit
14. Dez 2011
Beiträge
36
Punkte für Reaktionen
0
Punkte
0
@jahlives

Ich habe versucht su via ipkg zu installieren. Dass war leider nicht möglich...
Gibt es sonst noch eine möglichkeit damit ich mit einem User zu root wechseln kann???

Gruss Momoleta
 

peter120

Benutzer
Mitglied seit
23. Jun 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
busybox suid

Sorry für die Verspätung,

hatte leider eine ganze Weile keinen Zugang.
Ja dadurch ist die ganze Busybox auf suid gesetzt. Ich weiß jetzt nicht was unsicherer ist suid auf busybox oder den Zugang via SSH durch root erlauben. Wenn ich das letztere anwende dann denke ich mal keinen telnet und kein SSH via Passwort sondern nur per Schlüssel ?

gruß
Peter
 

mrgorilla

Benutzer
Mitglied seit
29. Dez 2011
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hallo...
ich bezweifle dass man su nachinstallieren kann. Das ganze hängt vermutlich mit der Authentifizierungsimplementation auf der Busybox zusammen (http://tinylogin.busybox.net/) die sehr bewusst schlank gehalten ist.

Die Anmerkung von itari , dass, wenn sich jemand einloggt, es vermutlich sowieso ein Administrator ist - also root, ist absolut nachvollziehbar. Es handelt sich ja hier um einen "Server" und keine Multi-user-Workstation.

Peter, wenn wir mal den Kontext und die Möglichkeit der Schlüsselauthentifizierung ausblenden, erschließt sich die Antwort fast von selbst. Wenn Busybox suid ist, hat jeder root-Priviliegien. Man muss also nur ein Passwort eines _beliebigen_ Users knacken. Wenn root-Login deaktiviert ist und su funktionierte, müssten 2 Passwörter geknackt werden - dass eines Users und das von root. Angenommen beide haben eine Länge von 8 Zeichen, so erreicht du dieselbe Komplexität (2 Passwörter)*(Größe d. Menge möglicher Zeichen)^(8:Länge des Passwort) indem du die Länge des Root-Passworts verdoppelst = (Größe d. Menge Möglicher Zeichen)^(2*8:Länge des Passwort ).
Also verdoppel die Länge des Root-Passworts und du hast theoretisch die gleiche Sicherheit.

Wenn man jetzt noch weiß, dass auf der DS das Passwort von admin und root standardmäßig gleich sind, braucht man wiederum nur ein Passwort raten. Nur die Deaktivierung des root-Login bringt also erst mal nicht viel.

Was häufig als Argument angeführt wird, root-Login zu verbieten, dass root keiner Person zugeordnet werden kann, ist in unserem Fall vermutlich nicht (w/r)ichtig. Die Zahl der Administratoren bzw. Leuten die das root-Passwort kennen, ist bei einer DiskStation vermutlich in der Regel Eins.
Deswegen bloß kein suid der Busybox setzen, da dann irgendein geknacktes Passwort sofort root-Rechte bedeutet.

Besser ist natürlich Aktivieren der Schlüsselauthentifizierung und Abschalten der Passwort-Authentifizierung.

mfg
 

peter120

Benutzer
Mitglied seit
23. Jun 2011
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo,

danke für die ausführliche Erklärung. Ich habe zumindest Busybox jetzt wieder "ent..suid..et". Ich werde allerdings, sobald ich die DS nach aussen öffne, die Passwort-Authentifizierung deaktivieren.

mfg
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ich weiß jetzt nicht was unsicherer ist suid auf busybox oder den Zugang via SSH durch root erlauben. Wenn ich das letztere anwende dann denke ich mal keinen telnet und kein SSH via Passwort sondern nur per Schlüssel ?
busybox suid ist imho auf jeden Fall das grössere Risiko als ein erlaubter root Login. Man darf ned vergessen, dass man nicht unbedingt einen Account knacken müsste um das ausnutzen zu können: Es gibt viele Serveranwendungen welche auch Systemkommandos nutzen. Wenn die Anwendung dann eine ausnutzbare Lücke hat, ist deine DS mit suid recht schnell Eigentum eines anderen ;-)
Natürlich auch ned vergessen, dass nur ein sicheres Root PW den Unterschied macht, wenn man den Root Login freigibt. Es wurde ja bereits erwähnt, dass ein Zertifikatslogin dann besser wäre. Wichtig: auch wenn du den Zertlogin für ssh machst musst du unbedingt ein genügend komplexes PW verwenden. Denn im LAN hast du immer noch Dienste und dort könnte ein böser Zeitgenosse, der weiss, dass admin PW gleich root PW ist, es immer noch mit Brute Force auf das admin PW probieren. Zusätzlich würde ich in jedem Fall noch den Autobock im DSM aktivieren.
 

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0

Elador

Benutzer
Mitglied seit
17. Dez 2011
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Hast du also BB neu kompiliert, oder einfach eine neue /etc/busybox.conf erstellt?

Ich frage mich, nachdem ich das hier gelesen habe, warum andere Leute einfach so ein SUID auf busybox empfehlen oder es sogar als "Bugfix" bezeichnen. Oder hat sich das Problem mit der Busybox im DSM4.2 tatsächlich erledigt? Ansonsten Vorsicht:
http://forum.synology.com/enu/viewtopic.php?f=90&t=30075#p178900
http://literatitech.blogspot.ch/2011/03/using-bash-on-synology-ds210j.html


Im ipkg gibt es das "sudo" Paket, ist das zu empfehlen als Lösung?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Im ipkg gibt es das "sudo" Paket, ist das zu empfehlen als Lösung?
ketzerische Frage: was versprichst du dir von sudo resp su? Ein Plus an Sicherheit ergibt sudo nur wenn mach auf einen Passwortlogin verzichtet. Sonst könnte ja jeder Keylogger das PW des sudo Users mitschneiden und wäre damit auch root. su selber kommt ihmo eh nicht in Frage, weil man dazu das root Passwort kennen muss. Dann kann man sich gleich mit root anmelden.
Denn aus Sicht der Sicherheit ist es egal ob dein root Passwort geknackt ist oder das Passwort eines Users mit sudo Rechten. In beiden Fällen ist man defakto root :)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat