Zeige Ergebnis 1 bis 8 von 8

Thema: Tomcat mit root Rechte?

  1. #1
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard Tomcat mit root Rechte?

    Warum läuft den der Tomcat auf der Starface mit root Rechten?
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  2. #2
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Ich finde das sehr gefährlich, auch weil bei vielen die Starface vom Internet aus erreichbar ist.

    Es ist gerade so eine "Mode" Erscheinung das die Tomcats alle mit root Rechten laufen, auch bei anderen Projekten.
    Irgendwann ist es so schlimm wie bei WinXP, dort war es auch bequem die Benutzer mit Administrationsrechten laufen zu lassen und damit die reinsten Virenschleudern zu bauen.

    Edit:
    Code:
    root      2570  1.4  0.7 133156 27512 ?        Ssl  Jan21 687:28 /usr/sbin/asterisk -n
    root      2486  0.2  8.4 1418424 307120 ?      Sl   Jan21 127:02 /usr/lib/jvm/java-sun/bin/java -Djava.util.logging.config.file=/opt/tomcat/conf/logging.properties [...]
    Auch der Asterisk läuft mit root Rechten
    Geändert von slu (22.02.2012 um 16:46 Uhr)
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  3. #3
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    1.001

    Standard

    Zitat Zitat von slu Beitrag anzeigen
    Ich finde das sehr gefährlich, auch weil bei vielen die Starface vom Internet aus erreichbar ist.

    Es ist gerade so eine "Mode" Erscheinung das die Tomcats alle mit root Rechten laufen, auch bei anderen Projekten.
    Irgendwann ist es so schlimm wie bei WinXP, dort war es auch bequem die Benutzer mit Administrationsrechten laufen zu lassen und damit die reinsten Virenschleudern zu bauen.

    Edit:
    Code:
    root      2570  1.4  0.7 133156 27512 ?        Ssl  Jan21 687:28 /usr/sbin/asterisk -n
    root      2486  0.2  8.4 1418424 307120 ?      Sl   Jan21 127:02 /usr/lib/jvm/java-sun/bin/java -Djava.util.logging.config.file=/opt/tomcat/conf/logging.properties [...]
    Auch der Asterisk läuft mit root Rechten
    Gebe Dir grundsätzlich recht, dass Tomcat nicht unbedingt mit Root-Rechten laufen muss.

    Die generelle Erreichbarkeit der STARFACE aus dem Internet resp. die damit verbundene Umfunktionierung zur Virenschleuder lässt sich relativ einfach umgehen. Die Freigabe der SIP-, RTP- und XMPP-Protokolle sind auf die verwendeten VoIP-Provider zu beschränken; jemand anderes braucht keinen direkten Zugang zur STARFACE. Anders sieht es leider aus, wenn von aussen Zugriff auf Web-Oberfläche benötigt wird.

    Gruss
    Thomas
    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  4. #4
    STARFACE Expert
    Benutzerbild von may
    Registriert seit
    17.07.2007
    Beiträge
    516

    Standard

    mal aus dem Nähkästchen™ geplaudert:

    Hintergrund ist tatsächlich, das man aus der WebUI heraus das System konfigurieren kann, also sysfiles editiert werden müssen, die nur root darf (man denke an netzwerkeinstellungen). Dazu müßten wir einen "sudo"-mechanismus einbauen, der sobald der tomcat tatsächlich gehackt wird auch offen stehen würde (entweder würde der tomcat-user sudo'er ohne Passwort-Authentifizierung sein, oder das Passwort müßte für diesen User maschinen-lesbar hinterlegt werden). Kurzum, es wäre alles nur Kosmetik und würde den Hacker 5 statt 3 Sekunden beschäftigen.

    Mir ist das auch schon lange ein Dorn im Auge, wäre allerdings ein recht massiver Umbau unseres Systems. Hierfür wäre es notwendig WebUI und Admin-Interface in separate Web-Apps aufzuspalten, so daß man das Admin-Interface (welches sudo'en müsste) über die Firewall von extern blocken könnte. Bis wir so weit sind wird wohl leider noch etwas Wasser den Rhein runter fließen...
    mfg
    may

  5. #5
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Hintergrund ist tatsächlich, das man aus der WebUI heraus das System konfigurieren kann, also sysfiles editiert werden müssen, die nur root darf (man denke an netzwerkeinstellungen). Dazu müßten wir einen "sudo"-mechanismus einbauen, der sobald der tomcat tatsächlich gehackt wird auch offen stehen würde (entweder würde der tomcat-user sudo'er ohne Passwort-Authentifizierung sein, oder das Passwort müßte für diesen User maschinen-lesbar hinterlegt werden). Kurzum, es wäre alles nur Kosmetik und würde den Hacker 5 statt 3 Sekunden beschäftigen.
    Leuchtet mir ein und auch das hier sudo keinen Sinn macht.
    Mir ist das auch schon lange ein Dorn im Auge, [...]
    Des beruhigt mich und das der Umbau nicht so einfach wird ist mir klar. Allerdings solltet Ihr das Ziel nicht aus den Augen verlieren.

    Warum aber läuft den auch der asterisk mit root rechten?

    PS: Dank may für die ehrliche und ausführliche Antwort!
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  6. #6
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Gerade durch Zufall über diesen alten Thread gestolpert und wie wir heute Wissen wurden meine Bedenken leider Realität...
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

  7. #7
    STARFACE Crew
    Benutzerbild von TomAnson
    Registriert seit
    11.11.2014
    Ort
    Karlsruhe
    Beiträge
    1.874

    Standard

    Zitat Zitat von slu Beitrag anzeigen
    Gerade durch Zufall über diesen alten Thread gestolpert und wie wir heute Wissen wurden meine Bedenken leider Realität...
    Wobei das Thema seit 3.5 Jahren nicht mehr aktuell ist (der STARFACE wurde in 6.4.3 die allgemeinen Root-Rechten entzogen)
    STARFACE Quality Assurance

    Bug gefunden? Hier melden!
    Featurewunsch oder Verbesserungsvorschlag? Trage es in unserem Feature Request Portal ein!
    Unsere Knowledge-Base für STARFACE findet ihr hier!

  8. #8
    STARFACE Expert

    Registriert seit
    23.02.2008
    Beiträge
    3.840

    Standard

    Ja das hätte ich dazu schreiben sollen, danke Tom.
    Man soll ja die alten Threads nicht immer ausgraben, war aber ein riesen Zufall das mir das Teil heute wieder über den Weg gelaufen ist

    Dieses Problem wurde mit Starface 6.4.3 behoben!
    Gruß
    slu

    ---
    Hinweis: Ich bin kein Starface Partner.
    Starface seit 2008

Ähnliche Themen

  1. Appliance root-login
    Von FlorianW im Forum STARFACE Einrichtung & Administration
    Antworten: 6
    Letzter Beitrag: 06.10.2010, 08:22
  2. Nach Update auf 3: Tomcat + Asterisk + PostgreSQL tot
    Von klopfer im Forum STARFACE Installation
    Antworten: 8
    Letzter Beitrag: 18.06.2008, 10:44
  3. LDAP Adressbuch - Tomcat
    Von DavidHartmann im Forum Bugreports
    Antworten: 7
    Letzter Beitrag: 20.05.2008, 13:03
  4. root Passwort bei Appliance ???
    Von thomas.hertli im Forum STARFACE Installation
    Antworten: 1
    Letzter Beitrag: 07.05.2008, 16:58
  5. [HowTo] Installation auf einen Root-Server (nur Remotezugriff)
    Von Xandrian im Forum STARFACE Installation
    Antworten: 2
    Letzter Beitrag: 15.02.2007, 12:46

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •