Sicherheit - Root Prozesse

Dieses Thema im Forum "Allgemein" wurde erstellt von lusim, 21. März 2012.

  1. lusim

    lusim New Member

    Hallo,

    habe ISPConfig wie beschrieben Der Perfekte Server" installiert.
    HowtoForge Linux Tutorials » Der Perfekte Server - Debian Lenny (Debian 5.0) [ISPConfig 3]

    Allerdings laufen sehr viele Prozesse unter root - könnte ihr mir die config sagen wo ich dies einzelnt umstellen kann?


    • der erste apache-Prozess /usr/sbin/apache2 - k start - Weitere laufen auf www-data oder unter den nutzern als php-cgi
    • /bin/sh -c .... vlogger
    • alle instanzen von pure-ftpd
    • /usr/lib/postfix/master
    • /usr/sbin/spamd
    • alle fail2ban
    • /bin/sh /usr/bin/mysqld_safe Auch der logger
    • Mehere /usr/sbin/rourierlogger sowie /usr/sbin/couriertcpd
    • /usr/lib/courier/courier-authlib/authdaemond
    • /usr/sbin/acpid
    • /usr/sbin/saslauthd
    • /usr/sbin/rsyslodg
    • udevd
    Danke euch!
     
  2. nowayback

    nowayback Well-Known Member

    Moinsen,

    bitte überdenke nochmal was du hier vorhast...

    wie soll z.B. udev ohne root Rechte funktionieren?

    Das ließe sich jetzt auch für andere Dinge die du da geschrieben hast fragen, deshalb -> überdenken

    Grüße
    nwb
     
  3. lusim

    lusim New Member

    Da hast du natürlich recht, aber die Kernaussage bleibt die gleiche.
    Meines erachtens nach muss ein Apache egal auf welcher ebene kein root haben, genau so wenig wie courier etc, deswegen wäre eine Antwort auf gegebene Punkte sehr nett.

    Vielleicht hab ich ja auch ne falsche Denke und ispconfig macht mehr als ich dachte...
     
  4. nowayback

    nowayback Well-Known Member

    Wenn du z.B. per Script einen Shell User anlegen können möchtest, dann geht das meines wissens nach nicht ohne root Rechte. Und da ISPConfig das unterstützt bzw. sogar vorraussetzt wüsste ich nicht, wie das ohne gehen soll.

    *** Edit ***
    Außerdem sollte das auch nur der ISPConfig Prozess sein der unter root läuft. alle anderen unter www-data
     
    Zuletzt bearbeitet: 21. März 2012
  5. Till

    Till Administrator

    Die von Dir genannten Prozesse müssen alle uneter root starten was jedoch nicht bedeutet dass die worker prozesse welche die Daten verarbeiten auch unter root laufen, und das ist auf allen Linux Distributionen so. Da ist nichts ISPConfig spezifisches dabei. Jeder Linux Prozess der einen niedrigen port belegen will oder aber Kindprozesse unter unpriveligierten Usern startet muss als root gestartet werden, sonst kann er sich nicht an den Port binden oder Prozesse unter anderen usern initiieren. Nachdem die Daemons gestart sind spalten Sie einen Prozess ab der nicht als root läuft und die eigentliche Arbeit übernimmt.

    Es läuft kein ispconfig apache Prozess unter root. Das ISPConfig Interface läuft unter www-data wenn mod_php verwendet wird bzw. dem unprivilegierten user ispconfig bei fastcgi. Konfigurationsaufgaben werden nicht durch das ISPConfig Interface somdern das ispconfig Server script durchgeführt welches als 1 minütiger root cronjob läuft.
     
  6. lusim

    lusim New Member

    Danke sehr für die ausführliche und nette Ausführung.
    Somit kann das glaub ich als gelöst abgehackt werden.
     

Diese Seite empfehlen