Tomcat mit root Rechte?

  • Ich finde das sehr gefährlich, auch weil bei vielen die Starface vom Internet aus erreichbar ist.


    Es ist gerade so eine "Mode" Erscheinung das die Tomcats alle mit root Rechten laufen, auch bei anderen Projekten.
    Irgendwann ist es so schlimm wie bei WinXP, dort war es auch bequem die Benutzer mit Administrationsrechten laufen zu lassen und damit die reinsten Virenschleudern zu bauen.


    Edit:

    Code
    root      2570  1.4  0.7 133156 27512 ?        Ssl  Jan21 687:28 /usr/sbin/asterisk -n
    root      2486  0.2  8.4 1418424 307120 ?      Sl   Jan21 127:02 /usr/lib/jvm/java-sun/bin/java -Djava.util.logging.config.file=/opt/tomcat/conf/logging.properties [...]


    Auch der Asterisk läuft mit root Rechten :(

    Grüße
    slu


    ---
    Ich bin kein Starface Partner - zufriedener Starface Anwender seit Anfang 2008.

    Meine Module: Einfache Community Blacklist

    Einmal editiert, zuletzt von slu ()


  • Gebe Dir grundsätzlich recht, dass Tomcat nicht unbedingt mit Root-Rechten laufen muss.


    Die generelle Erreichbarkeit der STARFACE aus dem Internet resp. die damit verbundene Umfunktionierung zur Virenschleuder lässt sich relativ einfach umgehen. Die Freigabe der SIP-, RTP- und XMPP-Protokolle sind auf die verwendeten VoIP-Provider zu beschränken; jemand anderes braucht keinen direkten Zugang zur STARFACE. Anders sieht es leider aus, wenn von aussen Zugriff auf Web-Oberfläche benötigt wird.


    Gruss
    Thomas

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • mal aus dem Nähkästchen™ geplaudert:


    Hintergrund ist tatsächlich, das man aus der WebUI heraus das System konfigurieren kann, also sysfiles editiert werden müssen, die nur root darf (man denke an netzwerkeinstellungen). Dazu müßten wir einen "sudo"-mechanismus einbauen, der sobald der tomcat tatsächlich gehackt wird auch offen stehen würde (entweder würde der tomcat-user sudo'er ohne Passwort-Authentifizierung sein, oder das Passwort müßte für diesen User maschinen-lesbar hinterlegt werden). Kurzum, es wäre alles nur Kosmetik und würde den Hacker 5 statt 3 Sekunden beschäftigen.


    Mir ist das auch schon lange ein Dorn im Auge, wäre allerdings ein recht massiver Umbau unseres Systems. Hierfür wäre es notwendig WebUI und Admin-Interface in separate Web-Apps aufzuspalten, so daß man das Admin-Interface (welches sudo'en müsste) über die Firewall von extern blocken könnte. Bis wir so weit sind wird wohl leider noch etwas Wasser den Rhein runter fließen...

    mfg
    may

  • Zitat

    Hintergrund ist tatsächlich, das man aus der WebUI heraus das System konfigurieren kann, also sysfiles editiert werden müssen, die nur root darf (man denke an netzwerkeinstellungen). Dazu müßten wir einen "sudo"-mechanismus einbauen, der sobald der tomcat tatsächlich gehackt wird auch offen stehen würde (entweder würde der tomcat-user sudo'er ohne Passwort-Authentifizierung sein, oder das Passwort müßte für diesen User maschinen-lesbar hinterlegt werden). Kurzum, es wäre alles nur Kosmetik und würde den Hacker 5 statt 3 Sekunden beschäftigen.


    Leuchtet mir ein und auch das hier sudo keinen Sinn macht.

    Zitat

    Mir ist das auch schon lange ein Dorn im Auge, [...]


    Des beruhigt mich und das der Umbau nicht so einfach wird ist mir klar. Allerdings solltet Ihr das Ziel nicht aus den Augen verlieren.


    Warum aber läuft den auch der asterisk mit root rechten?


    PS: Dank may für die ehrliche und ausführliche Antwort!

  • Gerade durch Zufall über diesen alten Thread gestolpert und wie wir heute Wissen wurden meine Bedenken leider Realität...


    Wobei das Thema seit 3.5 Jahren nicht mehr aktuell ist (der STARFACE wurde in 6.4.3 die allgemeinen Root-Rechten entzogen) :)

    Quality Assurance


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Ja das hätte ich dazu schreiben sollen, danke Tom.
    Man soll ja die alten Threads nicht immer ausgraben, war aber ein riesen Zufall das mir das Teil heute wieder über den Weg gelaufen ist :)


    Dieses Problem wurde mit Starface 6.4.3 behoben!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!