PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sollte Azureus in eine VM?


Gast
2007-03-19, 14:33:26
Hallo,

ich setze Ubuntu ein und habe ins inet keine ports geöffnet.
Allerdings sauge ich öfters so frei erhältliche sachen von seriösen quellen über azureus.
also das etwas an den files versucht ist, glaube ich nicht. Allerdings muss man für azureus einen port öffnen (tcp + udp) und das ist ja dann denke mal schon ein erhebliches angriffsziel oder?

also mal abgesehn davon, wie wahrscheinlich das ist oder nicht:
ist ein azureus mit geöffnetem port ein "eldorado" für einen hacker, wird das eindringen deutlich vereinfacht?

Unfug
2007-03-19, 15:47:21
Nein,
Azureus müsste dafür erstmal eine Sicherheitsloch haben. Da es OpenSource ist, würdest Du aber sicherlich innerhalb weniger Minuten ein Update bekommen.
Dann kommt hinzu, daß Azureus nicht mit root Rechten ausgeführt wird (sollte ;-) ). Das heißt im Worst Case könnte er sich dein HomeDir anschauen, aber nichts installieren (Trojaner etc).
Dann kommt hinzu, daß Linux+Azureus nicht wirklich weitverbreitet ist und Du eher eine Chance hast im Lotto zu gewinnen, als daß jemand versucht dich zu cracken, da er auch noch deinen Port kennen müsste.
Zusätzlich hat Linux selbst auch noch "Abwehrmechanismen". Ich hab mich nicht wirklich damit ausseinandergesetzt. Irgendwas mit SelLinux.

Gruß und Tschüss.

Django
2007-03-19, 15:58:40
Hm, Apache ist aber auch Open Source und da wird viel gehackt ;-)

Unfug
2007-03-20, 01:17:33
Naja selbst schuld wenn man keine Updates macht.
Und Apache ist sicherlich ein größeres Ziel als Azureus, da man davon ausgehen kann, daß Apache auf einem Webserver betrieben wird.
Und alle den Port 80 offen haben.
Also irgend eine Webseite hat oder sogar als Root Server verwendet wird.
Diese Server ändern eher weniger ihre IP und an diesen können sich die Cracker dann mehrer Tage auslassen.
An so einer Workstation wie unser Gast sie hat bezweifle ich stark, daß da jemand interesse dran hätte. Unser Gast bräuchte nur mal neuzustarten und schon wars das.

Falls du aber eigentlich mit deiner Aussage sagen wollte, daß OpenSource nicht unbedingt 100% Sicherheit bedeutet:
Stimmt ;D =)
Nacht.

drdope
2007-03-20, 01:25:17
Hallo,

ich setze Ubuntu ein und habe ins inet keine ports geöffnet.
Allerdings sauge ich öfters so frei erhältliche sachen von seriösen quellen über azureus.
also das etwas an den files versucht ist, glaube ich nicht. Allerdings muss man für azureus einen port öffnen (tcp + udp) und das ist ja dann denke mal schon ein erhebliches angriffsziel oder?

also mal abgesehn davon, wie wahrscheinlich das ist oder nicht:
ist ein azureus mit geöffnetem port ein "eldorado" für einen hacker, wird das eindringen deutlich vereinfacht?

Wenn du paranoid genug bist --> alles was offene Ports benötigt, gehört in eine DMZ --> http://de.wikipedia.org/wiki/Demilitarized_Zone

@home, würd ich mir allerdings überlegen ob, das ganze den Zeit-/-konfigaufwand lohnt. Außerdem kostet das ganze natürlich Geld --> zusätzlich Hardware und laufende kosten (Stromverbrauch).
;)

Katano
2007-03-20, 08:31:55
Zusätzlich hat Linux selbst auch noch "Abwehrmechanismen". Ich hab mich nicht wirklich damit ausseinandergesetzt. Irgendwas mit SelLinux.


hi,
nur ein paar sätze zu SELinux.
Security Enhanced Linux ist eine Erweiterung, kein Standard. Auszug aus Wikipedia: http://de.wikipedia.org/wiki/SELinux
Security-Enhanced Linux (SELinux) ist eine Erweiterung des Linux-Kernels, die den ersten Versuch darstellt, das FLASK-Konzept der NSA umzusetzen. Es implementiert die Zugriffskontrollen auf Ressourcen im Sinne von Mandatory Access Control. SELinux wird maßgeblich von der NSA und von dem Linux-Distributor Red Hat entwickelt. Firmen wie Network Associates, Secure Computing Corporation, und Tresys sind ebenfalls an der Arbeit an SELinux beteiligt, besonders Tresys übernimmt vermehrt Aufgaben am Projekt.

SELinux setzt sich aus einem Kernel-Patch und aus zahlreichen Erweiterungen für Systemprogramme zusammen. Für das Festlegen der Regeln gibt es eine sogenannte Policy, die momentan von Tresys herausgegeben wird. Die meisten Distributionen bieten spezielle SELinux-Policy-Pakete für ihre Programme an, die die Policy um das jeweilige Programm erweitern.

Gast
2007-03-20, 08:48:10
An so einer Workstation wie unser Gast sie hat bezweifle ich stark, daß da jemand interesse dran hätte.
Nacht.

Naja in unserem Land leben 82Mio Verdächtige.

Mir gehts nicht um Hacker - mir gehts darum, ob das Reichssicherheitshauptamt Azureus nutzen könnte, um in meiner Kiste rumzuschnüffeln!

Katano
2007-03-20, 09:02:13
theoretisch: ja
praktisch: sehr unwahrscheinlich (ich schätze das die chance 2mal hintereinander im 6 richtige im lotto zu haben höher ist)

wie schon gesagt wurde ist azureus unter linux sehr selten.
wahrscheinlicher ist es, dass das Reichssicherheitshauptamt (geiles wort ;)) sich anderer programme/konstellationen zuwendet.

aber ausschließen kann man das nicht. Die Frage nach dem Wie ist sowieso kritisch. Azureus fixt die Sicherheitslücken immer zügig und hatte imho auch nur wenig kritische bis jetzt.

ist es nicht wahrscheinlicher das die dir was beim surfen untermogeln als ausgerechnet über azureus?!?

Gast
2007-03-20, 09:17:24
theoretisch: ja
praktisch: sehr unwahrscheinlich (ich schätze das die chance 2mal hintereinander im 6 richtige im lotto zu haben höher ist)

wie schon gesagt wurde ist azureus unter linux sehr selten.
wahrscheinlicher ist es, dass das Reichssicherheitshauptamt (geiles wort ;)) sich anderer programme/konstellationen zuwendet.

aber ausschließen kann man das nicht. Die Frage nach dem Wie ist sowieso kritisch. Azureus fixt die Sicherheitslücken immer zügig und hatte imho auch nur wenig kritische bis jetzt.

ist es nicht wahrscheinlicher das die dir was beim surfen untermogeln als ausgerechnet über azureus?!?

Wie soll das gehen? Ich surfe nicht auf Seiten die mir zugemailt werden!
Ich dachte halt: Offener Port mit Dienst = grosses Risiko

zumal ich nicht die offzielle Azureus Version nutze, sondern einen Mod mit vielen Tweaks die ich nichtmehr missen will..Die ist nicht immer ganz aktuell und eben schon garkein Open Source...

Unfug
2007-03-20, 10:18:43
und eben schon garkein Open Source...
Das würde aber gegen GPL verstoßen. Und dann musste mit leben, wenn der Author der Tweak Version ein Backdoor eingebaut hat.

Katano
2007-03-20, 14:15:41
Wie soll das gehen? Ich surfe nicht auf Seiten die mir zugemailt werden!
Ich dachte halt: Offener Port mit Dienst = grosses Risiko

sorry, ich wollte dir nicht unterstellen das du einfach so auf zugemailte seiten surfst.

bedingt, da ein "offener" Port ja immer ein Port ist, auf dem ein Programm "lauscht", bzw. sich angesprochen fühlt. ist das programm sicher, ist der port sicher. wobei azureus mit nicht gpl-plugins, die veraltet sind schon eine gefährdung sein kann.

wobei: wenn die JavaVM als doof-user läuft _sollte_ es keine sicherheitsprobleme geben. es sei den die Java version an sich hat auch ein leck, das sich von azureus aus angreifen lässt.


meine einschätzung bleibt:
es ist wahrscheinlicher 2 mal 6 richtige im Lotto zu haben als unter dieser konstellation gehackt zu werden. da sind zu viele unbekannte für einen erfolgreichen hack über den azureus port.

Gast
2007-03-20, 15:52:00
@Kantano

THX for the Answer!

Wenn ich für Azureus ein Extra User erstelle und diesen ein extra Verzeichnis erstelle (der User hat dann nur Zugriff auf dieses eine Verzeichnis), sollte ja der Hacker, selbst wenn der Hack klappt, nur auf dieses Verzeichnis zugreifen können oder?
Gleiches würde doch für eine Backdoor im Programm gelten, korrekt?

Aber Azureus ist ja Java, kann ich nur diese eine JAR über den user laufen lassen, oder müsste das für die ganze VM gelten?

Gast
2007-03-20, 15:52:54
sry ich meinte für das ganze Java... im letzten satz

The Cell
2007-03-20, 21:22:03
@Kantano

THX for the Answer!

Wenn ich für Azureus ein Extra User erstelle und diesen ein extra Verzeichnis erstelle (der User hat dann nur Zugriff auf dieses eine Verzeichnis), sollte ja der Hacker, selbst wenn der Hack klappt, nur auf dieses Verzeichnis zugreifen können oder?
Gleiches würde doch für eine Backdoor im Programm gelten, korrekt?

Aber Azureus ist ja Java, kann ich nur diese eine JAR über den user laufen lassen, oder müsste das für die ganze VM gelten?

Wenn der User mit dem Security-Token eines normales Standardbenutzers arbeitet ja.
Läuft Azureus im Kontext eines privlegierten Systemuser (Administrator z.B.), dann bedeutet ein Remoteexploit, dass die Maschine geownt ist.

Gruß,
QFT

Gast
2007-03-20, 22:19:10
Kann man denn einstellen, das eine einzelene Jar datei auf einem anderen User läuft?

Katano
2007-03-21, 10:26:14
mit "sudo -u username java ..." müsste das gehen.

*edit*
natürlich würde dann eine neue VM entstehen, in der nur azureus läuft.
deine "normale" VM wäre so abgeschirmt und könnte auch als priviligierter user laufen.

Django
2007-03-21, 18:07:11
Danke!

Kennst du zufällig ein sehr gutes Tutorial über Datei/Verzeichnisrechte? Das von Ubuntu ist leider sehr dünn.

Ich würde gern einen User erstellen, der wirklich nur auf 2 Verzeichnisse zugreifen darf. Auf die anderen soll er nichtmal lesend zugreifen dürfen!

The Cell
2007-03-21, 21:09:47
http://www.linuxsource.de/download/chmod.pdf
http://kris.koehntopp.de/artikel/unix/zugriffsrechte/

Gruß,
QFT

Gast
2007-03-21, 21:54:00
http://www.linuxsource.de/download/chmod.pdf
http://kris.koehntopp.de/artikel/unix/zugriffsrechte/

Gruß,
QFT

Das kenne ich...aber dann muss ich ja für alle anderen verzeichnisse die zugriffsrechte umstellen...geht das nicht irgendwie einfacher?