Sicherheit - Root Prozesse

#1
Hallo,

habe ISPConfig wie beschrieben Der Perfekte Server" installiert.
HowtoForge Linux Tutorials » Der Perfekte Server - Debian Lenny (Debian 5.0) [ISPConfig 3]

Allerdings laufen sehr viele Prozesse unter root - könnte ihr mir die config sagen wo ich dies einzelnt umstellen kann?


  • der erste apache-Prozess /usr/sbin/apache2 - k start - Weitere laufen auf www-data oder unter den nutzern als php-cgi
  • /bin/sh -c .... vlogger
  • alle instanzen von pure-ftpd
  • /usr/lib/postfix/master
  • /usr/sbin/spamd
  • alle fail2ban
  • /bin/sh /usr/bin/mysqld_safe Auch der logger
  • Mehere /usr/sbin/rourierlogger sowie /usr/sbin/couriertcpd
  • /usr/lib/courier/courier-authlib/authdaemond
  • /usr/sbin/acpid
  • /usr/sbin/saslauthd
  • /usr/sbin/rsyslodg
  • udevd
Danke euch!
 

nowayback

Well-Known Member
#2
Moinsen,

bitte überdenke nochmal was du hier vorhast...

wie soll z.B. udev ohne root Rechte funktionieren?

Das ließe sich jetzt auch für andere Dinge die du da geschrieben hast fragen, deshalb -> überdenken

Grüße
nwb
 
#3
Da hast du natürlich recht, aber die Kernaussage bleibt die gleiche.
Meines erachtens nach muss ein Apache egal auf welcher ebene kein root haben, genau so wenig wie courier etc, deswegen wäre eine Antwort auf gegebene Punkte sehr nett.

Vielleicht hab ich ja auch ne falsche Denke und ispconfig macht mehr als ich dachte...
 

nowayback

Well-Known Member
#4
Wenn du z.B. per Script einen Shell User anlegen können möchtest, dann geht das meines wissens nach nicht ohne root Rechte. Und da ISPConfig das unterstützt bzw. sogar vorraussetzt wüsste ich nicht, wie das ohne gehen soll.

*** Edit ***
Außerdem sollte das auch nur der ISPConfig Prozess sein der unter root läuft. alle anderen unter www-data
 
Zuletzt bearbeitet:

Till

Administrator
#5
Die von Dir genannten Prozesse müssen alle uneter root starten was jedoch nicht bedeutet dass die worker prozesse welche die Daten verarbeiten auch unter root laufen, und das ist auf allen Linux Distributionen so. Da ist nichts ISPConfig spezifisches dabei. Jeder Linux Prozess der einen niedrigen port belegen will oder aber Kindprozesse unter unpriveligierten Usern startet muss als root gestartet werden, sonst kann er sich nicht an den Port binden oder Prozesse unter anderen usern initiieren. Nachdem die Daemons gestart sind spalten Sie einen Prozess ab der nicht als root läuft und die eigentliche Arbeit übernimmt.

Außerdem sollte das auch nur der ISPConfig Prozess sein der unter root läuft. alle anderen unter www-data
Es läuft kein ispconfig apache Prozess unter root. Das ISPConfig Interface läuft unter www-data wenn mod_php verwendet wird bzw. dem unprivilegierten user ispconfig bei fastcgi. Konfigurationsaufgaben werden nicht durch das ISPConfig Interface somdern das ispconfig Server script durchgeführt welches als 1 minütiger root cronjob läuft.
 

Werbung