Ordner mit Bashscripts und PATH Variable



  • Hallo,

    ich habe mal ne Frage bezüglich der Sicherheit.

    Ich habe so manche Bashscripts, diese könnten auch irgendwie zerstörerisch sein.
    Ich benutze sie aber oft. Und nun wollte ich fragen was sicherer ist:

    - Neue Umgebungsvariable mit dem Bashscripts-Ordner als Inhalt (nennt sich BASHSCRIPTS)
    - Oder einfach nur den Bashscripts-Ordner der PATH Variable hinzufügen.

    Oder ist das alles gleich sicher?
    Gehts noch sicherer?
    Wie schütze ich mich vor meinem eigenen Code?



  • Ich könnte alles ins Root-Verzeichnis verschieben und ein zusätzliches Bashscript entwickeln, das das begsagte Script zurückverschiebt, es ausführt und es wieder ins Root-Verzeichnis verschiebt. So muss jedes mal wenigstens eine Passwortabfrage stimmen.

    Oder ich mache alles ins Root-Verzeichnis und füge es der PATH Variable hinzu.

    Ist mein Ansatz korrekt so?



  • Gegen welches Szenario möchtest du dich schützen?



  • Christoph schrieb:

    Gegen welches Szenario möchtest du dich schützen?

    Ich weiß nicht, stell dir vor jemand hackt mich. 😕



  • Christoph schrieb:

    Gegen welches Szenario möchtest du dich schützen?

    Gegen ein Programm, von dem ich selbst nicht weiß welches, was eine Art Fernzugriff auf meinen Rechner macht. So, dass der Bösewicht auf seinem Rechner auf meinen Daten rumwühlen kann. Und Kommandos auf meinem Rechner ausführen kann.



  • In dem Szenario hast Du doch eh schon verloren. Wenn ein Angreifer beliebigen Code ausführen kann, kann er auch rm -rf /* eingeben. Oder eigenen Code hochladen. Wozu sollte er sich die Mühe machen, Deine Skripte auch nur anzugucken - geschweige denn auszuführen?



  • SG1 schrieb:

    In dem Szenario hast Du doch eh schon verloren. Wenn ein Angreifer beliebigen Code ausführen kann, kann er auch rm -rf /* eingeben. Oder eigenen Code hochladen. Wozu sollte er sich die Mühe machen, Deine Skripte auch nur anzugucken - geschweige denn auszuführen?

    Gibt es einen Weg, so einem Backdoor-Program den Hahn zuzudrehen, es gar unmöglich machen, dass so ein Fernzugriff möglich ist?

    Wird Grsec meine Box härten?
    Ich hab Grsec schonmal versucht, mich hat es nur gesuckt, dass der GDB schlussendlich nicht mehr funktioniert hat, weil Grsec macht ja, dass man mit einem Debugger das Programm nicht zur Laufzeit verändern kann.


  • Mod

    recorder schrieb:

    Gibt es einen Weg, so einem Backdoor-Program den Hahn zuzudrehen, es gar unmöglich machen, dass so ein Fernzugriff möglich ist?

    Ja, aber du musst spezifischer fragen, gegen welche Szenarien du dich schützen möchtest.

    Gegen das Szenario, dass dein System sicher ist, und dich jemand von außen hackt, hilft, einfach keine entsprechenden Dienste nach außen anzubieten oder nur mit einer praktisch unknackbaren Authentifizierungsmethode.

    Gegen das Szenario, dass du dir selber den Angreifer auf den Rechner geholt hast (Ausfall der brain.exe), hilft eigentlich nur eine externe Stelle, die den Verkehr überwacht (Firewall).

    Gegen das Szenario, dass dein Rechner ohne dein Zutun kompromittiert ist (Backdoor/Fehler im System), hilft eigentlich nur physische Trennung von allen Netzen. Denn einen Rechner komplett aus dem Nichts zu boostrappen ist praktisch nicht möglich. Dies ist leider wohl auch das realistischste Angrifssszenario. Man kann das Risiko etwas mindern, indem man keine Komponenten von zweifelhafter Herkunft einsetzt (z.B. keine Systeme von Firmen, die von den Gesetzen ihres Herkunftsstaates quasi dazu gezwungen sind, Hintertüren einzubauen).



  • Ok, danke, ich seh das Ganze nun etwas klarer.

    PS: VLC macht übrigens so nen unerwarteten Kram. Beim ersten Programmstart kreuzt man noch extra an, dass keine Metainformationen gesendet werden sollen, und wenn ich dann den VLC und nen Sniffer gleichzeitig laufen lasse, sehe ich trotzdem sehr viel Traffic. Was der da wohl sendet. Also den Port mal mit der Firewall blocken. Oder offline benutzen.

    Man kann heutzutage noch kaum wem trauen, am besten man baut sich alles selbst! 😃


Log in to reply