Ändern einer IP-Route als User (Mac OS X) // sudoers [Update]

Im Zuge einer Überarbeitung meiner VPN-Firewall-Gateway-VM stolperte ich wieder über den Routing-Activator. Dieses kleine Script macht nichts anderes, als das externe VPN-Netzwerk über eine Gateway-VM zu routen. Da jedoch route zwingend root-Rechte benötigt, musste ich bei jedem VPN-Aufbau (sprich: Starten der VPN-Gateway-VM) oder einem Netzwerk-Neustart ein sudo /path/to/your/script via Terminal abfeuern — inklusive lästiger Passworteingabe.

Okay. Gehen wir das Problem an!

Das eigentliche Problem ist, das route nur als superuser ausgeführt werden darf. Für solche Fälle gibt es die sudoers-Datei, welche in Kurzform beschreibt, welche User welche Befehle als superuser ausführen dürfen. In der Regel landen dort manchmal Services (wenn ein Service bspw. zwar als Superuser gestartet werden muss, aber eigentlich im Kontext eines normalen Benutzers läuft und gesteuert wird) oder bestimmte Systembefehle.

Nun könnte man natürlich route für den eigenen Benutzer komplett freischießen, aber dann gelte dieser Freibrief für alle Prozesse. Nein, das will man auch nicht. Eigentlich soll ja nur die eine Route erlaubt werden. Und da praktischerweise diese Konfiguration bereits als ein Script — /path/to/your/script — vorliegt, wird einfach dieses dort eingetragen. Dabei sind jedoch einige Vorsichtsmaßnahmen zu treffen.

  1. Mit dem Befehl sudo visudo öffnet man eine spezielle Instanz von vi zum Editieren der sudoers.
  2. Ganz am Ende trägt man eine weitere Zeile an (man kann sich an den Beispielen orientieren):

    Damit erlaubt man dem Benutzer USER das Ausführen des definierten Commands ohne Passwortabfrage.
    Sollte das Script natürlich woanders liegen, so muss das angepasst werden (irgendwie klar, oder?) Man kann auch andere Muster (beispielsweise ganze Gruppen) oder andere Modi wählen (siehe dazu man sudoers).
  3. Wichtig: Um jegliches Sicherheitsrisiko zu vermeiden, sollte man unbedingt das Script danach abschotten. Dazu werden die Rechte auf das mindeste entfernt.
    1. sudo chmod -w /path/to/your/script entfernt für alle Benutzer das Schreibrecht (muss man es dennoch editieren, geht es mit sudo vi und einem abschließenden :wq! natürlich dennoch).
    2. sudo chown root /path/to/your/script übertragt das Script dem Root-Benutzer, um eine nachträgliche Rechte-Änderung ohne Passwort zu verhindern.
  4. Fertig. Das Script kann nun mit sudo /path/to/your/script nun mit Rechten des superuser gestartet werden (ohne Passwort) und ist gleichzeitig ohne administrative Rechte nicht mehr änderbar.

Ersatz für Thawte (personal e-mail certificates)

Kleine Randnotiz und Hinweis für diejenigen, die auch eine Alternative für Thawte suchen – zur Erinnerung: Die kostenlosen E-Mail-Zertifikate bzw. der Dienst dafür läuft in wenigen Tagen ab.

Eine Alternative ist TrustCenter mit seinem Angebot TC Internet ID. Auch dies ist ein E-Mail-Adressen basiertes und kostenloses Zertifikat – und dieses PKI-Zertifikat ist auch beim „Rest“ installiert und bekannt.

25C3

Der „Hackerkongress“ ist zu Ende, und es gab ein paar interessante Vorträge.

Da ich selber vor einem halben Jahr einen Vortrag über PKI-Grundlagen in meinem WPF „IT-Sicherheit“, war natürlich der Vortrag über die MD5-Kollision bei einer Zertifikatsanfrage interessant. In Kürze: Die Hackergruppe hat erfolgreich ein CA-Zertifikat erhalten! Weitere Stichworte: 200 PlayStations, 4 Fehlversuche, 600 Dollar. 🙂 (Links: heise online, torrent video, homepage).

Ein anderer netter Vortrag ging um die forensiche Analyse von Arbeitsspeicher – im ausgeschalteten Zustand (cold boot attacks). Sehr interessant, und am Ende mit ein paar Holloywoodtrickswitzen garniert (torrent video).

Noch mehr bei 25C3, torrents.

Ne, boah geil, iPhone H4ckaa!

Heise schießt den Vogel ab – pünktlich zum Freitag der Woche. Was für ein scheißschlechter Artikel.

  • Der Mann versteht selbst nicht, warum das als News in die Weltgeschichte geht.
  • Was erwartet man, wenn man physischen Zugriff hat, um eine neue (modifizierte) Firmware installieren kann?
  • Alles sowieso nicht neu.

Ich will Niveau, Heise!

Update: DNS im Angriff (Tool inside)

Es sind wohl immer noch nicht alle DNS-Server gepatched; Sicherheitschecks hin und her, manche Provider scheinen das nicht ganz ernst zu nehmen. Der Dumme ist auf jeden Fall der Anwender.

Wie bereits im Heise-Artikel (Link siehe oben) erwähnt, gibt es nun auch ein paar Downloads zum „Selber-DNS-faken“ – wie praktisch!

Viel interessanter finde ich bei dem Exploit aber das begleitende Video – das ist schon erschrecken. Mit dem „Baukasten“ können auch Unversierte schnell viel Unfug bauen..

Die neue Generation von Captchas

Wer kennt sie nicht: Diese kleinen Plagegeister, bestehend aus Zahlen und Buchstaben, mal klein, mal groß. In den unterschiedlichsten Farben und Formen, meist noch durchlöchert mit Pfeilchen und Linien, Kreisen und anderen geometrischen Verrenkungen. Alles nur dafür, dass ein intelligentes Computerprogrämmchen den Dienst/Download/Such-es-dir-aus nur von Menschen genutzt werden kann – naja, wenn die dann das auch noch lesen können.

Ich will ja nicht sagen, dass ich schlechte Augen habe, ganz im Gegenteil. Aber was da manchmal von einem verlangt wird, ist eine Mutmaßung.

Wem das aber noch nicht reicht – oder schon reicht: Hier gibt es Überlegungen, das ganze noch ein paar Level krasser zu machen.

Einfach mal durchlesen, und messen wie lange man dafür braucht. 🙂

slashdot.org