einem root-Prozess Schreibzugriffe nur in einem Directory erlauben

To: debian-user-german@lists.debian.org
Subject: einem root-Prozess Schreibzugriffe nur in einem Directory erlauben
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Thu, 18 Oct 2018 16:13:14 +0200
Message-id: <[🔎] E1gD934-0007JB-CH@drop.zugschlus.de>

Hallo,

die Situation: Zwei Directories (die wie der Inhalt root gehören
müssen)auf zwei Rechnern sollen synchron gehalten werden. Hierfür ist
ein rsync-Mechanismus etabliert. Sicherheit wird dadurch hergestellt,
dass der von rsync verwendete Key im /root/.ssh/authorized_keys auf
command="rsync ..." mit den vom client gewählten Optionen festgenagelt
ist.

Diese Optionen ändern sich von Zeit zu Zeit, was jedes Mal zu
schwierig zu debuggenden Fehlern führt, bis man die authorized_keys
files nachgezogen hat. Das nervt.

Deswegen hatte ich die Idee, den rsync-Prozess auf der Serverseite mit
generischen Argumenten zu starten, ihn aber z.B. mit einem Wrapper so
einzuschränken, dass er nur im gewollten Ziel schreiben darf ("schreib
außerhalb Deines Bereiches und Du stirbst"). Interessanterweise
scheint das noch niemand gemacht zu haben, jedenfalls noch nicht so
weit, dass man das Ergebnis hätte paketieren können.

Am liebsten würde ich etwas wie command="restrict-wrapper
--write-dir=/etc/dhcp/synced $SSH_ORIGINAL_COMMAND" schreiben können
(abgesehen davon, dass $SSH_ORIGINAL_COMMAND in der authorized_keys
selbst nicht zur Verfügung steht).

Was ich nicht will, ist:
- selinux (ich möchte nicht das ganze System umstricken müssen)
- mount namespaces / bind-mounts
- eine systemd-unit (passt hier nicht und benutzt auch nur mount
  namespaces und bind-mounts)
- chroot (das braucht das rsync-Binary plus Libraries innerhalb des
  Zielverzeichnisses, was Update-Issues bringt.

Habt ihr da geniale Ideen?

Und ja, sobald ich etwas als root aufrufe, muss ich ihm ein gewisses
Vertrauen entgegenbringen. Bei rsync ist das vorhanden, bei
demjenigen, der rsync auf der Gegenseite aufruft, eher nicht. Ich
möchte mich also nicht gegen Schwachstellen im auf dem Server
installierten rsync, sondern gegen einen böswilligen Aufrufer
absichern.

Any ideas?

Grüße
Marc

-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

Follow-Ups:
- Re: einem root-Prozess Schreibzugriffe nur in einem Directory erlauben
  - From: Stefan Klein <st.fankl.in@gmail.com>
- Re: einem root-Prozess Schreibzugriffe nur in einem Directory erlauben
  - From: "dirk.laurenz@ts.fujitsu.com" <dirk.laurenz@ts.fujitsu.com>
- Re: einem root-Prozess Schreibzugriffe nur in einem Directory erlauben
  - From: Alexander Dahl <post@lespocky.de>
- Re: einem root-Prozess Schreibzugriffe nur in einem Directory erlauben
  - From: Peter Wiersig <peter@friesenpeter.de>
- Re: einem root-Prozess Schreibzugriffe nur in einem Directory erlauben
  - From: Uwe Kleine-König <uwe@kleine-koenig.org>

Prev by Date: Re: XFCE Taskleistensymbole verschwinden
Next by Date: Re: einem root-Prozess Schreibzugriffe nur in einem Directory erlauben
Previous by thread: Re: Paket aus Fremdquellen installieren
Next by thread: Re: einem root-Prozess Schreibzugriffe nur in einem Directory erlauben
Index(es):
- Date
- Thread