Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
Sagt der Artikel nicht grundsaetzlich, dass man im Falle einer System- oder Accountkompromittierung saemtliche Daten pruefen muss? Inklusive der Daten, mit welchen man Zugriff auf entfernte Systeme nimmt?
Ich wuerde da sogar noch etwas anhaengen:
Subversion Passwoerter sind sicherlich genauso interessant, sofern derjenige schreibenden Zugriff auf ein Repository hat.
Die Kernaussage des Artikels waere also:
Passt auf euer Zeug auf, und wenn doch mal was passiert, schaut dreimal auf alle Daten die preisgegeben worden sein koennten.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Wenn sich jemand Zugang zu einem Account verschafft, ist alles von diesem Account unsicher. Nicht nur die Known-Hosts der SSH, genauso seine Private-Keys der SSH und vor allem auch seine PGP/GPG-Private-Keys.
Noch krasser kann die History der Shell sein. Wozu brauch ich dann eine Known-Hosts, wenn ich einfach in der History die Befehle nachsehen kann? Dann hab ich nämlich sogar die Kennung für die SSH und nicht nur einen Hostnamen. Dazu vielleicht noch einen Telnet oder Rsh, einen Tippfehler, wo ein Passwort im Shell-Prompt gelandet ist oder noch mehr.
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
|
|
|
|
|
für bash würde eine .bash_logout mit diesem Inhalt
export HISTSIZE=0 vorbeugen...
|
|
|
|
|
|
|
|
|
|
|
|
|
müsste das nicht eher in die .bashrc und ein rm bash_history in die .bash_logout?
|
|
|
|
|
|
|
|
|
|
|
|
|
Trifft das dann nur das File oder ist dann die ganze History aus? --
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 12. May 2005, 17:12 MEW (#13)
|
|
|
|
|
ja klar, die history ist ja auch eine vollkommen überflüssige funktion. habt ihr euch mal überlegt, wie grausam ihr bofh's zu euern usern seid? *reality-check* bei all dem sicherheitswahn bitte eine sache nicht aus den augen verlieren: wir wollen mit unseren computern _arbeiten_, und das bitte möglichst effizient. und alle befehle nach jeder terminal-session immer wieder neu eintippen ... ist das etwa effizient?!?
|
|
|
|
|
|
|
|
|
|
|
|
|
Es ist sicher ;-)
Noch sicherer ist natürlich, das Netzwerkkabel abzutrennen und Disketten- und CD-Laufwerk ausbauen. Am besten auch gleich das Netzteil. 100% Schutz vor Viren, Würmern und dem bösen Blitzschlag.
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 12. May 2005, 12:17 MEW (#5)
|
|
|
|
|
Einverstanden, aber dafür den passenden Wurm zu basteln ist ein erheblicher Mehraufwand, als die known_hosts der ssh auszunutzen. Das schreit schon quasi nach einem Wurm.
|
|
|
|
|
|
|
|
|
|
|
|
|
Mag sein. Wobei ein grep ssh.*@.* .bash_history nun auch nicht so ein Problem ist.
Mit PGP fällt mir da auch was ein: Eine Wurm-Mail, die dann sogar mit PGP signiert wäre. Ganz böse.
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Schön wäre das, glaub ich aber nicht weil:
- hab doch schon ein Passwort auf dem Account
- muß ich dann ja jedesmal eingeben wenn ich eine Mail schreibe oder lese
- hab ich beim letzten PGP-Key vergessen
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Platz 1 von den Gründe ist übrigens:
Hab doch Linux auf meiner Kiste zuhause, da brauch ich das doch nicht...
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 13. May 2005, 08:09 MEW (#15)
|
|
|
|
|
# print unset HISTFILE >>/etc/profile
|
|
|
|
|