Login
Newsletter
Werbung

Thema: Debian entscheidet über alternative Init-Systeme

2 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Verfluchtnochmal_5987108 am So, 3. November 2019 um 23:42 #

Mit Verlaub aber wer 2019 meint initscripts wären so toll was security betrifft ist ziemlich ahnungslos!

Dank systemd laufen meine httpd seit Jahren mit cgroups, seccomp, namespaces und vor allem eingeschränkten capabilities

Bedeutet: Auch der Master Prozess läuft nicht als root, die capability um auf 80/443 lauschen zu können ist mit einer Zeile im systemd unit erledigt und voila der exploit aus einem worker per scoreboard root Rechte zu erlangen hat hier auch vor dem Update nicht funktioniert

Ähnliches galt vor Jahren als sich mysql/mariadb über ein dämliches config snippet im datadir austricksen ließ, genauer gesagt mysqld_safe was ich hier 2011 durch systemd ersetzt habe weil das Tool nicht mehr gebraucht wird

Geh weg mit deinen Märchen von wegen sysvinit und security, ich könnte dir Bücher schreiben von ganzen Angriffsklassen die ich über die Jahre durch das Lesen von systemd Manuals und konsequentem Einsatz der Möglichkeiten einfach ausgeschlossen habe

Vieles davon ist mit einem initscript schlichtweg nicht machbar oder ein extrem fragiles Konstrukt

  • 0
    Von SecurityGuy am Fr, 8. November 2019 um 11:23 #

    Klassisches Beispiel einer Strohmann-Argumentation. Mit keinem Wort wird zuvor erwähnt, dass sysvinit besonders sicher wäre. Erwähnt werden "minimale Inits" - namentlich OpenRC und das BSD-Init von OpenBSD.

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung