Tag Archives: Rechte

pathdiscover vorgestellt

Posted on by

Als Admin kennt man das, irgendein Programm will auf eine Datei zugreifen und es geht nicht. Da kommt pathdiscover ins Spiel. Das kleine Linuxtool aus Cyborgs Github-Repository macht Schluß mit dem ewigen Suchen. Es zeigt alle Pfadsegmente mit allen Rechten in einem Schritt an.

Die Ausgabe

Die Ausgabe wird am besten als vorformatierter Text angezeigt, kann sein, daß Ihr da jetzt mal etwas scrollen müßt:

# pathdiscover /home/wordpress/jetpack/

'/home/wordpress/jetpack/' translates to '/opt/root/home/wordpress/jetpack'

 4096 Bytes wordpress/wordpress drwxr-xr-x : jetpack   ( directory )
 4096 Bytes wordpress/services  drwxr-x--- : wordpress ( directory )
 4096 Bytes root/root           drwxr-xr-x : home      ( directory )
 4096 Bytes root/root           drwxr-xr-x : root      ( directory )
 4096 Bytes root/root           drwxr-xr-x : opt       ( directory )

Die Ausgabe kann man mit diversen Optionen anpassen, z.b. auch so, daß alle atime,ctime und mtime Zeitstempel angezeigt werden:

# pathdiscover -d /home/wordpress/jetpack/

'/home/wordpress/jetpack/' translates to '/opt/root/home/wordpress/jetpack'

 4096 Bytes (2013-10-29 15:24:51 | 2013-09-19 17:54:54 | 2017-12-06 06:30:20) wordpress/wordpress drwxr-xr-x : jetpack ( directory )
 4096 Bytes (2017-11-20 16:38:07 | 2017-11-20 16:38:07 | 2017-12-06 06:30:08) wordpress/services drwxr-x--- : wordpress ( directory )
 4096 Bytes (2017-11-09 10:34:50 | 2017-11-09 10:34:50 | 2017-12-06 03:58:54) root/root drwxr-xr-x : home ( directory )
 4096 Bytes (2017-09-01 22:09:15 | 2015-02-10 15:27:53 | 2017-12-05 22:45:02) root/root drwxr-xr-x : root ( directory )
 4096 Bytes (2017-09-01 22:16:29 | 2017-09-01 22:16:29 | 2017-12-06 03:58:39) root/root drwxr-xr-x : opt ( directory )

Die Optionen

Die Hilfe gibt folgende Programmoptionen aus :

pathdiscover [-a] [-d] [-h] [-n] [-V] <filename>

Die Optionen im Einzelnen …

-V gibt die Versionsnummer aus.
-n –names schaltet die Übersetzung von UID in Namen ab.
-N –numbers zeigt die Größe der Datei und Ordner in Bytes an, statt in „Größen“
-a –alternative zeigt den kompletten Pfad zu dem Segment an, statt nur den Segmentnamen
-d –full-time  fügt atime, ctime und mtime Ausgaben hinzu.
-NC  versucht erst gar nicht die Ausgabe zu formatieren, was z.b. den Einsatz von AWK und SED leichter macht.

Selbst kompilieren leicht gemacht

Da es sich im GITHUB um den rohen C-Sourcecode handelt, muß man das Programm selbst kompilieren, falls es nicht schon in einer Distribution enthalten ist. Stand „Heute“ wird das nicht der Fall sein 😉

Im Gegensatz zu manch anderem Tool, ist das kompilieren, eine einfache Sache:

gcc pathdiscover.c  -o pathdiscover

Das war es dann auch schon. Jetzt kann man das Programm z.b. nach /usr/bin/ verschieben und so allen Benutzern zur Verfügung stellen. Kann aber sein, daß es in einigen Monaten und Jahren, wenn sich die Systemumgebung geändert hat, man neu kompiliert werden muß.

Wann braucht man das Programm ?

Das Einsatzgebiet liegt hauptsächlich bei Admins, die sich z.b. fragen, wieso eine Datei von Serverdienst X nicht erreicht werden kann. Meistens sind da die Besitzerrechte der Ordner und Dateien im Weg, weil man z.b. vergessen hat, den Besitzer der Datei zu ändern oder globale Leserechte vergessen hat.

Mit dem Programm bekommt man alles auf einmal übersichtlich angezeigt, so daß es recht einfach wird, solche Probleme zu beheben. Man sieht auch gleich, ob Sym-LInks im Spiel sind, die z.b. von Proftp und Apache nicht immer akzeptiert werden. Kurzum, ein sehr praktischer Befehl.

Update: Fedora OpenSSH Alarm: Nicht updaten auf 7.2p2-6 !

Posted on by

Wie gestern schon berichtet, ist die openssh Version 7.2p2-6 für Fedora defekt,

Wer keinen Zugang zu seiner Monitor Konsole hat und trotzdem das Downgrade einspielen muß, kann nun auf diesen Weg zurückgreifen:

Workaround V2.0: Downgrade auf 7.2p2-3

Über den Kojilink lädt man die drei Pakete runter:

Koji :  http://koji.fedoraproject.org/koji/buildinfo?buildID=756836

dann loggt man sich via defektem SSHD ein und  downgraded die Files für einen oneshot CronJob:

echo „59 16 * * * root /usr/bin/rpm -U –force /tmp/openssh*rpm > /tmp/log; rm -f /etc/cron.d/onetime“ > /etc/cron.d/onetime

Die Uhrzeit muß man natürlich an seine aktuelle Zeit anpassen 😉

Dann Ausloggen und nach der Zeit wieder einloggen. Der Befehl „rpm -qa | grep openssh“ sollte dann 7.2p2-3 anzeigen, welches die letzte funktionierende Version war.  Danach in /etc/dnf/dnf.conf einfügen:

exclude=openssh*

erst dann zieht das nächste Update nicht wieder die defekte Version auf den Server.

Das ganze klappt, weil der crond als „echter“ Root außerhalb der SSH Session läuft und nicht über sshd angetriggert wird.

Erste Hinweise zu den Ursachen des Problems

Wie im Bugtracker von RedHat einsehbar ist, kristallisieren sich grade Probleme mit der Chroot-Funktion vom SSHD heraus. Ist die Chroot aktiviert, was man tun sollte um Benutzer den Zugang zum System zu verweigern, so daß diese keine lokalen Angriffe fahren können, sondern in einer eigenen Umgebung arbeiten können. werden die für Root nötigen Capabilities nicht mehr gesetzt.

Capabilities sind die Eigenschaften eines Users, die erweiterte Rechte im Linuxsystem beinhalten, wie z.b. das Recht sich mit PTRACE in Prozessen einzuklinken, um diese zu belauschen oder zu verändern. Diese Capabilities machen Root erst aus und fehlen in der aktuellen sshd version:

# capsh --print
Current: =
Bounding set =
Securebits: 00/0x0/1'b0
 secure-noroot: no (unlocked)
 secure-no-suid-fixup: no (unlocked)
 secure-keep-caps: no (unlocked)
uid=0(root)
gid=0(root)
groups=

Meine Vermutung: Da hat wer zuviel weggepatcht 😉

Android – Skype entschärfen

Posted on by

Die Firma Microsoft zwingt in diesen Wochen die Anwender von Skype zur Installation einer neuen Version. Offiziell natürlich nur zu Ihrem Besten, inoffiziell will man auch Ihr Bestes, aber in dem Fall leider nicht nur Ihr Geld.

Skype auf Android hatte schon immer weitgehende Rechte, auch als es noch nicht zu Microsoft gehörte. Oft wollen die Apps zur Installation Rechte haben, die sie zur Erfüllung Ihres Jobs nicht brauchen. Grund ist das Ausspionieren  Ihrer persönlichen Daten um diese an Dritte zu verkaufen. Ich bezweifle zwar, daß Microsoft die Daten verkauft, aber vermutlich nur deshalb, weil Sie selbst der Kunde wären.

Heute möchte ich Ihnen kurz zweigen, wie Sie sich und Ihre Daten schützen können.

Wir brauchen dazu den SRT AppGuard. Diese Programm, kann andere Apps so umschreiben, daß bestimmte Funktionen nicht mehr gehen, z.b. das Auslesen aller Konten, Systemeinstellungen ändern etc. .

Anhand des Updates von Skype von einer nicht funktionierenden alten Version, auf die aktuelle Version, zeige ich Ihnen das generelle Vorgehen. Das neue Skype möchte deutlich mehr Rechte als die alte Skype Anwendung, weswegen ich diese eigentlich gar nicht installieren wollte.  Mit AppGuard gehts auch so.

Zunächst müssen wir den AppGuard installieren. Für bis zu 4 überwachte Programme, ist die App kostenlos. Erfreulicherweise muß die App selbst keine Rechte haben, was sie megasympathisch macht.

Schritt 1 : AppGuard installieren.

Unter dem Link https://update.backes-srt.com/appguard-app.apk laden wir uns die AndroidApp direkt von der Herstellerseite. Dies können Sie auch auf dem Androidgerät machen. Wenn Sie einen PC benutzen wollen, müssen Sie die APK Datei anschliessend auf das Tablet kopieren.

Schritt 2 :  Backup von SKYPE machen mit Android Mate

Installieren Sie per Google Play „Android Mate“. Das kleine Programm zeigt Ihnen beim Start u.a. alle laufenden Apps an. Klicken Sie auf das Skype Icon in der Liste der laufenden Programme und wählen Sie die Backupfunktion aus.

Schritt 3 :  Das Update

Gehen Sie zu Ihrem WLAN Router. Natürlich nur, wenn Sie per WLAN in Netz gehen mit Ihrem Android Gerät. Sollten Sie auch eine Mobilverbindung haben, schalten Sie diese jetzt aus. Sie werden gleich verstehen wieso.

Nun updaten Sie Skype per Google Play.

Sobald da INSTALLIEREN steht, schalten Sie Ihren WLAN Router aus oder knappen Sie die Internetverbindung am DSL Router. Das verhindert, daß bei einem Start der Skype App, die neuen Berechtigungen Daten an Microsoft verschicken können, bevor AppGuard dies verhindern kann.

Lassen Sie Skype jetzt normal installieren. Danach beenden Sie Skype, notfalls via Taskmanager oder Reboot des Geräts. ( Achtung: Skype startet beim Booten automatisch )

Schritt 4 : Trick 17

Starten Sie nun Appguard und wählen Sie Skype aus. Sie werden zunächst einmal durch eine Erklärung des Programms geführt. Lesen Sie diese aufmerksam, das erspart am Ende jede Menge Fragen.

Wählen Sie jetzt  Skype aus.

AppGuard analysiert nun die App. Klick Sie dann auf „Überwachen“.

Skype wird jetzt deinstalliert und erneut installiert, diesmal allerdings eine geänderte Version 🙂

Alles machen lassen was da an Abfragen kommt, bis auf eine Lizenzen kaufen.

Schritt 5 : Rechte zurechtrücken.

Entfernen Sie nun alle Rechte, die Datenschutzverstöße darstellen, wie Konten lesen, Geräte ID ermitteln usw. usw. Das war es schon.

App Guard Skype Einstellungen

App Guard Skype Einstellungen

Sie dürfen natürlich nur Recht entfernen, die zur Erfüllung von Skype nicht gebraucht werden, wie z.b. Konten erkennen. Sollten Sie Video abschalten, wird Skype vermutlich beim Versuch zu Telefonieren abstürzen.

Weitere Infos über SRT AppGuard und Androidrechte finden Sie hier:

http://www.kuketz-blog.de/srt-appguard-datenschutz-fuer-android-teil5/

Downloadlink:

https://update.backes-srt.com/appguard-app.apk