Re: firefox Installation

To: debian-user-german@lists.debian.org
Subject: Re: firefox Installation
From: Dani Belz <debian@dan-b.net>
Date: Mon, 3 Jan 2005 18:55:08 +0100
Message-id: <[🔎] 20050103175508.GA5088@snoopy.dan-b.net>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20050103161339.GG1311@eumel.yoo.local>
References: <[🔎] 20050102222926.08716aac.gw@wolfstieg.com> <[🔎] 20050102221106.GA1247@eumel.yoo.local> <[🔎] 20050103121302.GA3767@snoopy.dan-b.net> <[🔎] 20050103122510.GC1311@eumel.yoo.local> <[🔎] 20050103131605.GB4047@snoopy.dan-b.net> <[🔎] 20050103161339.GG1311@eumel.yoo.local>

* Thorsten Haude <debian@thorstenhau.de> [05-01-03 17:13]:
> 
> Wenn Du X11 als root startest haben zunächst mal alle X11-Clients
> Zugriff auf den Server. Das ist schon per Definition richtig, in
> diesem Fall geht es speziell aber um die Programme, die Du, direkt
> oder indirekt, dann mit root-Rechten startest. Das kann schnell eine
> dreistellige Anzahl von Prozessen oder Bibliotheken sein, die alle
> root-Zugriff auf Dein System haben. X11 selbst ist ein Riesenklops von
> Programm und hat mit Sicherheit mehr potentielle Sicherheitslücken als
> zB. ssh oder login:
> 
> % du --human-readable --summarize /usr/X11R6
> 91M     /usr/X11R6
> % ll =ssh
> -rwxr-xr-x  1 root root 226168 2004-11-28 16:33 /usr/bin/ssh*
> % ll =login
> -rwsr-xr-x  1 root root 35512 2004-11-26 07:30 /bin/login*
> 
> 
> Wenn Du jetzt noch das System mit 'xhost +' für jedermann öffnet,
> können sich auch Prozesse von anderen Rechnern als Clients mit diesem
> Server verbinden. Da X11-Clients nicht zwingend ein Fenster haben
> müssen (der Windowmanager hat zB. in der Regeln keines), muß der
> Benutzen das nicht mitbekommen.
> 
> Das alles ist bei einigermaßen vernünftig konfigurierten X11-Servern
> immer noch nicht ohne weiteres möglich. Das ist aber gerade der Punkt:
> Eine einzelnes Sicherheitsding kann immer versagen, darum sollte man
> sich nie auf ein solches Ding verlassen. Risikokompensation ist dann
> ein weiteres Problem, das macht sich zB. in einem absoluten Vertrauen
> in die "Firewall" (vermutlich meinst Du einen Portblocker) bemerkbar.
> 
> 
> Mein Fazit:
> - Nie als root arbeiten, es sein denn, ist ist nötig. Nicht bequem,
>   sondern wirklich nötig. Dazu gehört auch, den X-Server nie als root
>   zu starten.
> - Nie auf ein bestimmtes Sicherheitsfeature verlassen (naja,
>   vielleicht auf den Air Gap) sondern immer bei allen betroffenen
>   System die Sicherheitsaspekte im Hinterkopf behalten.

ah, okay! Jetzt seh ich klarer. Danke! :)

grZ
-- 
Dani Belz                                        http://dan-b.net
GPG EF658E3D | 6CD2 C40F 74A7 DFF6 FD29  7A31 2DE7 09CD EF65 8E3D

Attachment: signature.asc
Description: Digital signature

Reply to:

References:
- firefox Installation
  - From: Gerhard Wolfstieg <gw@wolfstieg.com>
- Re: firefox Installation
  - From: Thorsten Haude <debian@thorstenhau.de>
- Re: firefox Installation
  - From: Dani Belz <debian@dan-b.net>
- Re: firefox Installation
  - From: Thorsten Haude <debian@thorstenhau.de>
- Re: firefox Installation
  - From: Dani Belz <debian@dan-b.net>
- Re: firefox Installation
  - From: Thorsten Haude <debian@thorstenhau.de>

Prev by Date: Re: firefox Installation
Next by Date: Re: Rechteproblem - rekursives 644 mit Ausschluß der Verzeichnisse
Previous by thread: Re: firefox Installation
Next by thread: Re: firefox Installation
Index(es):
- Date
- Thread