[HaBo]

Serow · 25.12.10, 22:54

Hi,

folgende Situation: Ich habe ein Block Device /dev/vg1/data-crypt, welches ich mit lukscrypt verschlüsselt habe. Ich möchte nun, dass ein normaler User in der Lage ist, das Block Device zu entschlüsseln und das dabei entstandene "entschlüsselte" Block Device _ohne root Rechte und ohne sudo_ mounten kann.

Was muss man dafür tun?

ciao
serow

**bitmuncher** · 26.12.10, 05:29

Schreib einfach ein kleines Skript, das sich die root-Rechte via setuid holt. Als Eigentümer 'root' festlegen, suid-Bit setzen und schon können User die Befehle im Skript als root ausführen.

Code:

#!/usr/bin/perl

my $real_user_id       = $<; # original UID merken
my $effective_user_id  = $>; # original EUID merken
my $real_group_id      = $(; # original GID merken
my $effective_group_id = $); # original EGID merken
$<=$>=0;                     # zu root machen
$(=$)=0;                     # und natuerlich auch die root-GID annehmen

my $cmd = 'befehl zum mounten';
my $out = `$cmd`;
print $out;

# und die UIDs und GIDs zuruecksetzen
$< = $real_user_id;
$> = $effective_user_id;
$( = $real_group_id;
$) = $effective_group_id;

Anzeige

- Anzeige -

Serow · 26.12.10, 08:11

Hi,

stimmt, daran hab ich garnicht gedacht. Vielen Dank!

ciao
serow

GrafZahl · 26.12.10, 16:09

korrigiert mich wenn ich mich irre, aber "SUID + interpreted executable"

ist das nicht eine ziemlich unsichere idee ?

die meisten *NIX implementationen die ich kenne ignorieren SUID für scripts

metax. · 26.12.10, 17:28

Perl hat einige Sicherheitsfunktionen, die SetUID und SetGID betreffen.
Beispielsweise sind Variablen, die Benutzerparameter enthalten "tainted" und können nicht für einige kritische Operationen (z.B. Dateisystemzugriff) verwendet werden, bis sie explizit untainted werden. Dadurch sollen offensichtliche und dumme Fehler vermieden werden.
Trotzdem sollte man sich natürlich genau überlagen, was man tut.
http://www.cs.cmu.edu/afs/cs/user/rg...c/pl-suid.html

mfg, metax.

**bitmuncher** · 27.12.10, 01:22

In dem Moment, wo das Skript lediglich einen Mount-Befehl ausführt, sehe ich keine Sicherheitsrisiken.

@GrafZahl: Theoretisch bringt das SUID-Bit bei Skripten nicht viel, da die meisten Skript-Sprachen es nicht einmal ermöglichen, dass man den User-Kontext wechselt, in dem das Skript läuft. Üblicherweise richten sich die Skripte dabei nach den Programmen, die sie ausführen und überlassen diesen das User-Handling. Perl stellt da neben einigen anderen Skript-Sprachen eine Ausnahme dar. Ausserdem muss der Perl-Interpreter mit SUID-Skripten umgehen können, also explizit dafür kompiliert sein, was er aber meiner Erfahrung nach auf den meisten Distros ist.

Anzeige

- Anzeige -

25.12.10, 22:54	#1 (permalink)
Serow Senior Member Registriert seit: 26.03.06 Likes: 16	Privates Block Device Anzeige Hi, folgende Situation: Ich habe ein Block Device /dev/vg1/data-crypt, welches ich mit lukscrypt verschlüsselt habe. Ich möchte nun, dass ein normaler User in der Lage ist, das Block Device zu entschlüsseln und das dabei entstandene "entschlüsselte" Block Device _ohne root Rechte und ohne sudo_ mounten kann. Was muss man dafür tun? ciao serow

26.12.10, 05:29	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Schreib einfach ein kleines Skript, das sich die root-Rechte via setuid holt. Als Eigentümer 'root' festlegen, suid-Bit setzen und schon können User die Befehle im Skript als root ausführen. Code: #!/usr/bin/perl my $real_user_id = $<; # original UID merken my $effective_user_id = $>; # original EUID merken my $real_group_id = $(; # original GID merken my $effective_group_id = $); # original EGID merken $<=$>=0; # zu root machen $(=$)=0; # und natuerlich auch die root-GID annehmen my $cmd = 'befehl zum mounten'; my $out = `$cmd`; print $out; # und die UIDs und GIDs zuruecksetzen $< = $real_user_id; $> = $effective_user_id; $( = $real_group_id; $) = $effective_group_id; __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

26.12.10, 16:09	#4 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 210	korrigiert mich wenn ich mich irre, aber "SUID + interpreted executable" ist das nicht eine ziemlich unsichere idee ? die meisten *NIX implementationen die ich kenne ignorieren SUID für scripts __________________ Code: :(){ :\|:& };: Veritas Aequitas

26.12.10, 17:28	#5 (permalink)
metax. Registriert seit: 22.01.07 Likes: 10	Perl hat einige Sicherheitsfunktionen, die SetUID und SetGID betreffen. Beispielsweise sind Variablen, die Benutzerparameter enthalten "tainted" und können nicht für einige kritische Operationen (z.B. Dateisystemzugriff) verwendet werden, bis sie explizit untainted werden. Dadurch sollen offensichtliche und dumme Fehler vermieden werden. Trotzdem sollte man sich natürlich genau überlagen, was man tut. http://www.cs.cmu.edu/afs/cs/user/rg...c/pl-suid.html mfg, metax. __________________ Wenn keiner zuschaut, teile ich heimlich durch Null! Meine Homepage: Planet Metax \| meine Bilder: DeviantArt \| Twitter

27.12.10, 01:22	#6 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	In dem Moment, wo das Skript lediglich einen Mount-Befehl ausführt, sehe ich keine Sicherheitsrisiken. @GrafZahl: Theoretisch bringt das SUID-Bit bei Skripten nicht viel, da die meisten Skript-Sprachen es nicht einmal ermöglichen, dass man den User-Kontext wechselt, in dem das Skript läuft. Üblicherweise richten sich die Skripte dabei nach den Programmen, die sie ausführen und überlassen diesen das User-Handling. Perl stellt da neben einigen anderen Skript-Sprachen eine Ausnahme dar. Ausserdem muss der Perl-Interpreter mit SUID-Skripten umgehen können, also explizit dafür kompiliert sein, was er aber meiner Erfahrung nach auf den meisten Distros ist. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

26.12.10, 08:11	#3 (permalink)
Serow Senior Member Themenstarter Registriert seit: 26.03.06 Likes: 16	Hi, stimmt, daran hab ich garnicht gedacht. Vielen Dank! ciao serow

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Privates Block Device