# Emerge en veiligheid

## water

Als ik wat aan het emergen ben, doe ik dat altijd als root. Ik vraag mij af hoe veilig dit is en welke ander opties er zijn?

Je kunt eventueel als user de pakketten downloaden en als root de pakketten verplaatsen naar de juiste plek en de boel vervolgens emergen zonder internetverbinding. Alleen vindt ik dit redelijk omslachtig, want je zult ofwel alle pakketten handmatig moeten intikken, danwel selecteren met de muis, of het commando emerge als superuser draaien. Maar in het laatste geval moet je eerst weer aangeven waar de bestanden tijdelijk moeten worden opgeslagen.

Iemand andere suggesties, of maakt niemand hier zich druk over?

----------

## Supox

Hoi,

het updaten van portage, doe ik altijd als gewone gebruiker op de volgende manier:

```
 su -c 'emerge rsync' 
```

Hierdoor wordt alleen maar root-status gebruikt voor het uitvoeren van emerge rsync, hierna wordt je automatisch weer teruggezet naar je gewone gebruikersrechten. 

Iets anders wat ik me wel kan indenken ter verbetering van veiligheid, is het compileren als gewone gebruiker en voor de installatie ervan wel weer root-rechten gebruiken. Het enige nadeel van deze methode is wel, dat je in een aantal gevallen problemen met rechten kan krijgen, als je bijvoorbeeld iets in /var/log of iets anders dat root-toegangsrechten vereist. Momenteel zit deze optie nog niet in portage, maar ik zou het wel een hele verbetering vinden als dit de standaard zou worden.

----------

## lx

Ik doe emerge rsync etc gewoon als root en ik zie ook niet echt een veiligheids risico, ik heb wel een aparte user voor mijn X11 / dagelijks werk internet surfen etc. Als deze hoedanigheid kan ik mij dan veroorloven om af en toe een stom foutje te maken.

Normaal voor ik rsync en emerge -u world op tty2 uit terwijl ik lekker doorwerk / internet etc in X.

Een echt veiligheids risico zie ik ook niet in het uitvoeren van rsync als root. compilen en dergelijke zie ik ook niet als een groot probleem. Misschien kun je uitleggen wat jou doom senario is.

Cya lX.

----------

## water

Niet echt een doom-scenario, maar je bent uren ingelogd als root, met je internetverbinding open. Het zou naar mijn idee veiliger kunnen, bijvoorbeeld een paar regeltjes in ieder emerge-script, dat bijvoorbeeld je internetverbinding automatisch openzet als dat nodig is en weer afsluit als de sourcecode is binnegehaald en het compileren begint.

----------

## lx

 *water wrote:*   

> Niet echt een doom-scenario, maar je bent uren ingelogd als root, met je internetverbinding open. Het zou naar mijn idee veiliger kunnen, bijvoorbeeld een paar regeltjes in ieder emerge-script, dat bijvoorbeeld je internetverbinding automatisch openzet als dat nodig is en weer afsluit als de sourcecode is binnegehaald en het compileren begint.

 

'mmm ik ben permanent aangesloten op internet, daar zijn vuur(weerende)muren toch voor,  :Wink:  . Wat maakt het eigenlijk uit of ik ingelogd ben als root terwijl internet open staat of als user, het gaat om de poorten die open staan (zonder beveiliging), niet de gebruiker die ingelogd is,....

Cya lX.

----------

## zwik

Het is zowieso niet slim om altijd root te zijn wegens de hierboven genoemde redenen. Ik adviseer altijd om minstens 1 user-account bij te maken. Dit is echt niet moeilijk te doen middels het superadduser tooltje.

Gewoon altijd inloggen als user en wanneer het echt nodig is pas als root gaan werken met een su (switch user).

----------

## lx

 *zwik wrote:*   

> Het is zowieso niet slim om altijd root te zijn wegens de hierboven genoemde redenen. Ik adviseer altijd om minstens 1 user-account bij te maken. Dit is echt niet moeilijk te doen middels het superadduser tooltje.
> 
> Gewoon altijd inloggen als user en wanneer het echt nodig is pas als root gaan werken met een su (switch user).

 

Welke hierboven genoemde reden? ik heb geen rede gelezen waarom een ingelogde root user aanvallen vanaf het internet zou kunnen bevorderen. Kun je een voorbeeld geven van een scenario?

Ps. Ik heb een aparte user en geen wheel group (dus geen su -), ook heeft  de root geen toegang tot X, maar ik geloof er echt niet in dat tijdens het compilen onder root er iets met mijn systeem zou kunnen gebeuren, maar ik kan het mis hebben....  :Wink: 

Cya lX.

----------

## zwik

 *lx wrote:*   

>  *zwik wrote:*   Het is zowieso niet slim om altijd root te zijn wegens de hierboven genoemde redenen. Ik adviseer altijd om minstens 1 user-account bij te maken. Dit is echt niet moeilijk te doen middels het superadduser tooltje.
> 
> Gewoon altijd inloggen als user en wanneer het echt nodig is pas als root gaan werken met een su (switch user). 
> 
> Welke hierboven genoemde reden? ik heb geen rede gelezen waarom een ingelogde root user aanvallen vanaf het internet zou kunnen bevorderen. Kun je een voorbeeld geven van een scenario?
> ...

 

De redenen die je zelf aangeeft. Surfen als root, IRC als root whatever. Gevaarlijk dus.

----------

## lx

 *zwik wrote:*   

> De redenen die je zelf aangeeft. Surfen als root, IRC als root whatever. Gevaarlijk dus.

 

Uitgezonderd van surfen als root, zijn andere internet zaken en de kans gehacked te worden wel uiterst miniem, alhoewel voorkomen beter is dan genezen. btw. surfen is niet erg, alleen javascripts en dergelijke kunnen gevaar opleveren.

Welke reden? de poorten die openstaan, nou da's vrij moeilijk om daar als hacker iets zinnigs mee te doen, het grootste gevaar blijft het uitvoeren van code, exploits waarmee je een root-shell verkrijgt zijn uiterst zeldzaam, de meeste virussen en trojans komen binnen doordat   een gebruiker ze uitvoerd (denk maar aan WinDoz, alhoewel microsoft het natuurlijk ook nog ontzettend makkelijk maakt, door makkelijk uitbuitbare software te schrijven).

Als je toch paranoide wil zijn dan moet je het in de source-code gaan zoeken die je binnenhaalt, want na het binnenhalen en compilen, voer je sommige programma,s met root priviliges uit, denk aan de trojan die enkele uren in openssh (dacht ik) heeft gezeten. Ik kan me niet voorstellen dat je alle code doorkijkt. ook al rsync en compile je als user, het gevaar blijft hem zitten in het uitvoeren van code....

Alhoewel je dagelijks werk niet als root moet doen (email-client / websurfen etc), hoef je het gevaar ook niet te overdrijven. Het grootste gevaar zit 'm in het slopen van je systeem doordat je zelf iets fout doet als superuser.

Cya lX.

----------

## biroed

 *lx wrote:*   

> 
> 
> Als je toch paranoide wil zijn dan moet je het in de source-code gaan zoeken die je binnenhaalt, want na het binnenhalen en compilen, voer je sommige programma,s met root priviliges uit, denk aan de trojan die enkele uren in openssh (dacht ik) heeft gezeten. Ik kan me niet voorstellen dat je alle code doorkijkt. ook al rsync en compile je als user, het gevaar blijft hem zitten in het uitvoeren van code....
> 
> Cya lX.

 

Is md5sum check dan niet voldoende om een "aangepaste" source code er uit te vissen?

----------

## Zu`

 *biroed wrote:*   

> 
> 
> Is md5sum check dan niet voldoende om een "aangepaste" source code er uit te vissen?

 

In het geval van de Trojan in de OpenSSH packages zou een MD5 sum idd uitgewezen hebben dat er iets niet in orde was... Nuja, de trojan zat nooit in packages vanop ibiblio.org dacht'k .. dus Gentoo gebruikers hebben er nooit last van gehad.

Maar het kan toch zijn dat md5sum niet altijd een oplossing biedt? md5sum vergelijkt toch met de md5sum's vanop de server waarvan je "emerge rsync" doet ? Wat als die md5sum files ook werden aangepast (op ibiblio.org zelf bijvoorbeeld)?

Of een ebuild script dat aangepast werd en enkele lijnen code bevatten die zorgen dat ...

Ik zou het persoonlijk ook beter vinden dat alles wordt gecompileerd als non-root. Maw, de ./.configure && make als non-root en de make install als root.

----------

## lx

 *Zu` wrote:*   

> In het geval van de Trojan in de OpenSSH packages zou een MD5 sum idd uitgewezen hebben dat er iets niet in orde was... Nuja, de trojan zat nooit in packages vanop ibiblio.org dacht'k .. dus Gentoo gebruikers hebben er nooit last van gehad.
> 
> Maar het kan toch zijn dat md5sum niet altijd een oplossing biedt? md5sum vergelijkt toch met de md5sum's vanop de server waarvan je "emerge rsync" doet ? Wat als die md5sum files ook werden aangepast (op ibiblio.org zelf bijvoorbeeld)?
> 
> Of een ebuild script dat aangepast werd en enkele lijnen code bevatten die zorgen dat ...
> ...

 

md5sum zal in de meeste gevallen niks helpen, want er was een officiele site (of officiele mirror) gehacked (dacht ik) en dus kon ook gentoo 'm daar vandaan hebben gedownload, het beste is dus gnupg, dus het programma coderen met een bepaalde sleutel en deze ver van je te hacken systemen bewaren. Als iemand toegang heeft tot een systeem en de tar kan wijzigen kan hij ook de md5sum wijzigen. Ps. de digest (md5sum) files worden geregeld (2 dagen) automatisch geupdate.

Compileren c.q. installeren als non-root is een idee om hacks in ebuilds tegen te gaan, hiervoor zou emerge een aparte user kunnen gebruiken om binary packages te maken (.tgz), het installeren moet natuurlijk wel als root, ook leveren scripts met post-install functies en dergelijke problemen op, daar hier nogsteeds foutieve code in kan staan, versleutelen (of goed vertrouwen) lijkt daarom ook de enige manier om de tree te beveiligen. Het doorlopen van een scriptje is echter niet veel werk en ik denk dat mistanden snel worden opgespoort, maar ja dan kan het kwaad al zijn geschied. Mistanden in de source van de vele pakketen is echter veel moeilijker op te sporen, echte veiligheid is een illusie, vertrouwlijke informatie dien je dan ook extern van een computer te bewaren of goed te versleutelen (met een externe sleutel). Nou ja totdat ik een keer gehacked wordt voel ik me lekker veilig, maar toch brand ik regelmatig een cd'tje met mijn belangrijkste data,.....

Just call me paranoid,

Cya lX.

----------

