| 1 |
allgemeine Kategorie / Allgemeine Diskussionen / Re:Schwierigkeiten mit dem Reinkommen |
am: 24. Juli 2024, 04:58:38 |
| Begonnen von LairdWilliam | Letzter Eintrag von Andreas |
Ich habe den Beitrag vom "suletuxe-Treffen" getrennt, weil er damit absolut nichts zu tun hat (sowas wird in der Community als "Beiträge hijacken" bezeichnet...) 
Zur Frage:
Support via Email ist kontraproduktiv für den Lernfaktor aller - und es gibt auch absolut keinen Grund dafür. Man kann auch hier im Forum Bilder anhängen (allerdings nur eins pro Beitrag - aber das sollte ja reichen).
LG
Andreas |
   |
| 2 |
allgemeine Kategorie / Allgemeine Diskussionen / Schwierigkeiten mit dem Reinkommen |
am: 23. Juli 2024, 10:35:11 |
| Begonnen von LairdWilliam | Letzter Eintrag von LairdWilliam |
Moin Andreas und andere Suletuxer,
ich habe ein grosses Problem mit meinem PC.
Ich komme nicht rein. Das passierte einfach so.
Ich möchte gerne einen Bericht mit Fotos vom Monitor per email schicken, damit Ihr wisst,
wo bei mir der Schuh drückt.
Vielleicht kann ich ja ausnahmsweise über einen email-account meine Sorgen mitteilen.
Vielen Dank für eine Antwort an whisky-willi@web.de.
|
| |
| 3 |
allgemeine Kategorie / Installation & Einrichtung / pkexec die Polkit Alternative zu sudo |
am: 18. Juni 2024, 17:50:21 |
| Begonnen von Sebastian | Letzter Eintrag von Sebastian |
Da ich mich nun auch mit dem Polkit durch run0 beschäftigt habe. Habe ich noch eine sudo Alternative, die die meisten durch Polkit schon längst auf ihren system haben gefunden. pkexec dies ist leider genauso wie sudo ein SUID Binary teilt also die gleichen Sicherheitskonzeptschwachstellen.
Aber man kann das ja im Hinterkopf behalten, falls man mal sein sudo kaputt konfiguriert hat und sich selbst ausgeschlossen hat. Dann kann man sich mit run0 bzw. pkexec die sich an Polkit orientieren sich selbst aus dem Sumpf ziehen.
LG
Sebastian
|
| |
| 4 |
allgemeine Kategorie / Installation & Einrichtung / Tests mit run0 |
am: 18. Juni 2024, 17:23:12 |
| Begonnen von Sebastian | Letzter Eintrag von Sebastian |
Ich habe jetzt mal ein wenig mit run0 herumgespielt folgendes ist mir dabei aufgefallen:
Zu test Zwecken habe ich über run0 eine neue bash shell unter meinen eigenen Benutzer gestartet und darin das Programm sleep für 60 Sekunden ausgeführt. Damit ich genug zeit habe den Prozess zu untersuchen
run0 -u sebastian bash -c 'sleep 60'
|
|
Dabei kam folgende "pstree -T" ausgabe herraus:
systemd─┬─NetworkManager
├─accounts-daemon
├─applet.py
├─avahi-daemon───avahi-daemon
├─colord
├─cupsd
├─dbus-broker-lau───dbus-broker
├─firewalld
├─lightdm─┬─Xorg
│ └─lightdm───i3─┬─bash───xss-lock
│ ├─dunst
│ ├─i3bar───i3blocks───bash─┬─awk
│ │ ├─bash───sleep
│ │ └─grep
│ ├─kitty───bash───pstree
│ └─kitty───bash───run0───pkttyagent
├─nm-applet
├─polkitd
├─power-profiles-
├─sleep───(sd-pam)
|
|
Sleep wurde sauber von systemd geforkt und läuft nicht im Benutzerkontext (Sicherheitszugewinn)
Das gleiche nun mit "sudo -u sebastian bash -c 'sleep 60' "
systemd─┬─NetworkManager
├─accounts-daemon
├─applet.py
├─avahi-daemon───avahi-daemon
├─colord
├─cupsd
├─dbus-broker-lau───dbus-broker
├─firewalld
├─lightdm─┬─Xorg
│ └─lightdm───i3─┬─bash───xss-lock
│ ├─dunst
│ ├─i3bar───i3blocks───bash─┬─awk
│ │ ├─bash───sleep
│ │ └─grep
│ ├─kitty───bash───pstree
│ └─kitty───bash───sudo───sudo───sleep
|
|
Hier kann man erkennen das sudo sich aus meiner Bash shell sich selbst geforkt hat und darin sleep ausführt. Sudo läuft damit in meiner Nutzer Sassion. Und das leider, auch wenn ich mit sudo Root Rechte anfordere, dabei zeigt sich dasselbe Bild. Damit ist sudo der Safekeeper der Aufpassen muss das kein anderes Programm aus meiner Session sich dazwischen einklinkt.
Da gefällt mir der Ansatz von run0 schon besser das nicht im Nutzerkontext läuft.
Folgendes ist mir bei der nutzung von run0 noch aufgefallen:
run0 übergibt an die neue Session weniger Umgebungsvariablen, es fehlt unter anderen die DISPLAY Variable. Damit dürften keine grafischen Programme damit gestartet werden. (Dies kann man per Befehlszeile ändern oder konfigurieren)
Zudem ist folgender Hinweis aus dem Handbuch noch wichtig zu wissen falls man mit run0 ein Programm unter einen anderen User als Root ausführen möchte:
--chdir=, -D
Runs the invoked session with the specified working directory. If not specified defaults to the client's current working directory if
switching to the root user, or the target user's home directory otherwise.
|
|
Mit anderen Worten, das Working Directory ist nicht automatisch das, wo man sich drin befinden. Sondern ist per Standard das Heimartverzeichnis es sei, den man übergibt ein anders mit der oben erwähnten Option am einfachsten ist ein Programm aufruf dann wohl so, wenn man im aktuellen Verzeichnis bleiben möchte.
run0 -u sebastian -D . bash -c 'echo Hallo Welt'
|
|
Und per Default muss das Kennwort für jeden Befehl eingegeben werden. (Sicherheitszugewinn) die Authentifizierung wird nicht wie bei sudo für ein paar Minuten abgeschaltet.
Da run0 das Polkit und seine Autentifzierungs Agents verwendet. Wird man feststellen das man unter X oder wayland ein Grafisches Authentifizierungsfenster bekommt. Solange man so ein Agent installiert hat.
Bis jetzt bin ich von run0 schon ziemlich angetan. Jetzt gilt es zu untersuchen welche Angriffsmöglichkeiten für dieses neue Konzept sich zeigen werden.
LG
Sebastian |
| |
| 5 |
allgemeine Kategorie / Installation & Einrichtung / systemd 256 Update Hinweis |
am: 18. Juni 2024, 14:48:23 |
| Begonnen von Sebastian | Letzter Eintrag von Sebastian |
Hallo Suletuxe,
Systemd 256 ist im Core Repository heute angekommen. Für alle, die heute ein Systemupdate durchführen, achtet auf den Hinweis, den es beim Update von systemd vom Paket Maintainer gab:
(10/53) Aktualisiert wird systemd [#####################################################] 100%
:: This is a systemd feature update. You may want to have a look at
NEWS for what changed, or if you observe unexpected behavior:
/usr/share/doc/systemd/NEWS
|
|
LG
Sebastian |
| |
| 6 |
allgemeine Kategorie / Installation & Einrichtung / run0 als sudo Alternative |
am: 16. Juni 2024, 17:03:03 |
| Begonnen von Sebastian | Letzter Eintrag von Sebastian |
Einleitung:
Hallo Suletuxe,
in systemd v256 das momentan noch im Arch Core-Testing ist, hält ein neues CLI Tool mit dem Namen run0 Einzug das intern systemd-run (das es bereits länger gibt) verwendet. run0 soll als nicht vollwertige, dafür aber sicherere Alternative zu sudo (sudo hat immer noch mehr Funktionen, die der normale User aber nicht verwendet) verwendet werden können.
Es lehnt sich von den Optionen her an sudo an, das war es dann aber auch schon mit den Gemeinsamkeiten da run0 ganz anders Arbeit als sudo.
run0 Unterschide zu sudo
run0 ist kein Setuid Binary wie sudo. Sondern führt den Prozess als neuen isolierten Service unter PID 1 aus. Dabei werden keine Ausführungs- oder Sicherheitskontext Informationen vom Aufrufer in die aufgerufenen Befehle übernommen, da diese von einem neuen, isolierten Dienst aufgerufen werden, der vom systemd geforkt wurde.
Es brauch keine eigene Config wie die /etc/sudoers, sondern verwendet dafür polkit. Mit allen Annehmlichkeiten die polkit so mitbringt (Unterschiedliche Authentifizierungsmöglichkeiten (Biometrie, etc.)). Gut, polkit ist auch nicht grade einfacher als sudo zu konfigurieren, dafür aber mächtiger. Und Programme können ihre eigenen Regeln mitbringen.
Weitere Informationen
Hier sind ein paar Links mit weiteren Informationen:
https://www.freedesktop.org/software/systemd/man/devel/run0.html
https://www.heise.de/news/Systemd-Alternative-zu-sudo-soll-Linux-sicherer-machen-9705458.html
https://news.itsfoss.com/systemd-run0/
Fazit
Für mich hört sich das aufgrund der erhöhten Sicherheit, und der Tatsache, das ich die meisten Funktionen von sudo nicht ausschöpfe nach einer sehr guten Alternative zu sudo an. Besonders weil ich mit den anderen systemd Tools auch sehr zu Frieden bin, hätte ich so noch ein Tool mehr aus einer Hand.
Ganz auf sudo kann man leider (noch nicht) verzichten, da in Arch sudo z.b. in dem base-devel als Abhängigkeit mit drin steckt und zu viele Skripte sudo als gegeben ansehen.
Was sagt ihr zu run0 könnt ihr euch das als sudo Ersatz auch vorstellen?
LG
Sebastian |
| |
| 7 |
allgemeine Kategorie / Tutorials / Re:Wiki - lemmeknow Diskussionsthread |
am: 07. Juni 2024, 18:40:08 |
| Begonnen von Sebastian | Letzter Eintrag von Dietrich |
Hallo Sebastian,
das Thema Sicherheit ist eigentlich immer latent vorhanden.
Und wenn Dein Thema nur einen User wachrüttelt, ist es schon eine Erfolg.
Zum Thema Passwörter auf der Platte verstecken, fällt mit nix ein, ohne Verschlüsselung geht gar nicht.
Schönes Wochenende |
| |
| 8 |
allgemeine Kategorie / Tutorials / Re:Wiki - lemmeknow Diskussionsthread |
am: 07. Juni 2024, 16:49:11 |
| Begonnen von Sebastian | Letzter Eintrag von Sebastian |
Hallo Dietrich,
Das freut mich, dass du gerne mitlest. 
Da ich nicht weis, wer was wie gut versteht. Gehe ich erst mal von meinem Kenntnisstand und Interessen aus. Kann ja auch sein, dass Neulinge mit ähnlichen Interessen und Kenntnissen später mal dazustoßen. Oder vielleicht auch Interesse bei einem alten Hasen geweckt wird, der mehr wissen möchte. Deswegen bin ich auch gerne dazu bereit, falls jemand Interesse an solchen Dingen zeigt, Fragen zu beantworten.
Ich hoffe, dir hat der Podcast gefallen, falls du ihn dir angeschaut hast 
PS:
Ich hatte ehrlich gesagt, nicht mit einer Reaktion gerechnet, dass jemand das ausprobiert und sogar Rückmeldung gibt. Das hat mich wirklich sehr positiv gefreut
Dadurch weiß ich, dass sich jetzt wieder ein paar Leute mehr Gedanken über den Schutz ihrer Daten machen. Wenn man sieht, wie schnell große Bestände nach "nützlichen" Informationen durchsucht werden können, mit relativ kleinen Aufwand. |
| |
| 9 |
allgemeine Kategorie / Tutorials / Re:Wiki - lemmeknow Diskussionsthread |
am: 06. Juni 2024, 21:09:06 |
| Begonnen von Sebastian | Letzter Eintrag von Dietrich |
Hallo Sebastian,
ich glaube nicht das jemand mit dem Code, ohne Hilfsprogrammen zu dem "YouTube Video ID" Ergebnis kommt.
Wir Standarduser freuen und schon wenn wir ohne Hilfe alles hinbekommen.
Lese aber gerne mit
LG
Dietrich |
| |
| 10 |
allgemeine Kategorie / Tutorials / Re:Wiki - lemmeknow Diskussionsthread |
am: 06. Juni 2024, 15:08:16 |
| Begonnen von Sebastian | Letzter Eintrag von Sebastian |
Hi Andreas,
Auf das Tool aufmerksam bin ich geworden durch mein ATOM/RSS Abo das ich auf der Seite https://terminaltrove.com/ habe. (Trauer immer noch das unser Forum kein Feed hat  ) Dort war das Tool bei den Tools of the Week vorgestellt.
Wofür ich das brauche?
Da muss ich etwas ausholen. Dafür muss man wissen, dass ich eine Affinität für Informationssicherheit habe. Das geht einher mit Datenschutz, Verschlüsselung etc. Deswegen auch mein Interesse an den TSK
Und infolgedessen suche ich privat mehr Hobby mäßig nach Schwachstellen in meinen Computersystemen. Und dieses Tool sprach mich dabei sofort an, grade zu Sensibilisierungs-Zwecke finde ich das Tool schon cool, um den Leuten aufzuzeigen, dass es nicht so geil ist, irgendwo Credentials in Klartext herumliegen zu lassen. (Man glaub nicht wie viele Leute denken, wenn sie ihre Credentials tief genug im Dateisystem vergraben, da eh keiner hineinguckt).
Natürlich ist das nicht immer ganz so einfach und die Daten liegen im besten Fall auch nicht im Klartext vor. Sondern sind irgendwie kodiert bzw. gehasht und weiter in anderen Containerformaten verpackt. Aber da habe mir auch schon gedacht ...
Was wäre, wenn man die Regex Sammlung von diesem Tool in eine ClamAV Signatur umschreibt. Dann könnte ClamAV verwendet werden, um diese Form von Daten auch in anderen Containerformaten zu finden.
Aber abgesehen davon Credentials aufzuspüren, finde ich das Aufspüren von anderen Daten wie IP-Adressen, Links etc. auch schon sehr interessant. Da denke ich an das Auswerten einer .pcap Datei etc.
Im Großen und Ganzen benötigen tue ich es nicht unbedingt. Finde es aber gut, um Risiken aufzuzeigen.
Und ich finde in dieser Art von Tools liegt ganz schön viel Potenzial Beispiel gefällig?
Kann jemand mir auf Anhieb sagen, was das hier ist?
Wer es wissen möchte kann dies ja mal in das Web frontend von lemmeknow eingeben 
LG
Sebastian
|
| |
Zurück zur Foren-Übersicht.
|
|
|
