Thema: Image bereits im Auslieferungszustand absichern

Hallo tabbs,

ich schließe mich deiner Meinung an, dass die Sicherheitsperspektive von den Entwicklern vernachlässigt wurde und die Box so tatsächlich ein Sicherheitsrisiko darstellt. Allerdings will sicherlich die Community auch Nutzer erreichen, diese gar keine Ahnung von den Services unter Linux haben. Damit werden die Services vollkommen ungeschützt und aktiv belassen, so dass jeder Laie ohne Hindernisse darauf zugreifen kann.

Ich finde man sollte mit dem passwd-Befehl ein Passwort erstellen und so kann z.B. der vsftpd aktiviert bleiben (die Box läuft im LAN und nicht im Internet).

passwd

OpenWebif Passwort Passwortabfrage aktivieren:
Menu-Taste -> Erweiterungen -> OpenWebif -> Authentifizierung für HTTP aktivieren -> Ja


Hier nun meine Dienste diese ich deaktiviert habe:

/etc/init.d/telnetd.busybox stop
update-rc.d -f telnetd.busybox remove

# update-rc.d -f shellinabox start 20 2 3 4 5 . stop 20 0 1 6 .
/etc/init.d/shellinabox stop
update-rc.d -f shellinabox remove

# update-rc.d -f nfscommon start 19 2 3 4 5 . stop 11 0 1 6 .
/etc/init.d/nfscommon stop
update-rc.d -f nfscommon remove

# update-rc.d -f nfscommon start 13 2 3 4 5 . stop 13 0 1 6 .
/etc/init.d/nfsserver stop
update-rc.d -f nfsserver remove


Bei Samba würde ich ebenfalls etwas selektiver herangehen:

cp /etc/samba/distro/smb-shares.conf /etc/samba/distro/smb-shares.bak

/etc/samba/distro/smb-shares.conf:

Code:

[Audio]
        comment = Musikdateien
        path = /media/hdd/audio
        guest ok = Yes
        read only = No
        valid users = root kids
        admin users = root
        force create mode = 0600
        force directory mode = 0700
        wide links = yes
        follow symlinks = yes
		
[Movie]
        comment = Filme
        path = /media/hdd/movie
        guest ok = Yes
        read only = No
        valid users = root kids
        admin users = root
        force create mode = 0600
        force directory mode = 0700
        wide links = yes
        follow symlinks = yes

Informationen wie der Passwortschutz aktiviert wird befindet sich hier: Sambafreigaben und Sicherheit

99% der User brauchen diese Maßnahmen ja auch nicht, weil die Box im lokalen Netzwerk betrieben wird.
Das Teil ist immer noch zum TV schauen gebaut und soll kein Linux PC oder eine Konsole darstellen.
Und so eine Box ist in wenigen Minuten neu geflasht. Also stört der sogenannte Root Zugriff auch nicht.

Leute, solchen Aussagen sind bedenklich:
"Also stört der sogenannte Root Zugriff auch nicht."

Warum?
Niemand wird hundertprozentig garantieren können, dass in seinem lokalen Netzwerk kein kompromitiertes Gerät herumgeistert - und wenn es nur ein Kühlschrank sein sollte. Jedes netzwerkfähige Gerät im LAN ist potentiell gefährdet. Stellt Euch vor, Euer Kühlschrank, Fitness-Tracker oder was-auch-immer ist anfällig für Angriffe von außen und ist infiziert. Zwar mag das infizierte Gerät nur ein sehr eingeschränktes Betriebssystem haben, aber ein minimal agierender Schädling lässt sich relativ leicht implementieren und auf einem solchen infizierten Gerät installieren. Dieser Schädling nun sucht das Netzwerk nach verfügbaren Diensten. Trifft er auf einen offenen Telnet-Port, jubelt der Angreifer. Er hat nun mit einer openatv-Box ein viel leistungsfähigeres Gerät gefunden, von dem aus er seine Angriffe in das lokale Netzwerk und in das Internet ausführen kann. Er könnte mit den auf der Box verfügbaren Tools ohne Probleme einen viel leistungsfähigeren Schädling aus dem Internet herunterladen und auf der Box starten. Was dieser Schädling machen kann? Er könnte Euren Speicher formatieren - lol. das war 1995. Nein, er wird sich in ein einschlägiges Botnetz einklinken und brav jeden Befehl ausführen, der ihm übermittelt wird. Weiter ins Detail muss hier niemand gehen. Eure Box ist stark genug, alles Erdenkliche zu tun, und wenn der Angreifer schlau ist, kriegt Ihr davon gar nix mit.

@schorschi, wenn Deine Box nur auf localhost lauscht, kannst Du sie kaum bestimmungsgemäß benutzen. Du hättest sie Dir vermutlich nicht gekauft.

Ich habe seit 25 Jahren beruflich mit dem Internet zu tun und habe schon viele infizierte Clients und Server gesehen. Manches war lustig, Vieles nicht. Abgesehen davon macht sich vermutlich mittlerweile strafbar, wer wissentlich seine mit dem Internet verbundenen Geräte nicht nach dem aktuellen Stand der Technik absichert. Ob das Gerät nur in das Internet sendet oder im Internet, also von außen, erreichbar ist, ist zweitrangig.
Es wäre amüsant, wenn es hier um einen Localhost-Hack gehen würde, geht es aber nicht.

Ich glaube nicht daran das eine Position absolut richtig oder falsch ist, sondern das man das differenzierter betrachten muss.

Es geht auch nicht darum das die Box irgendwie unsicher ist, also jemand Daten stehlen kann. Nein, es geht um die Manipulation des System um weitere Angriffe realisieren zu können. Sei es im eigenen Netzwerk oder z.B. wie damals bei Netgear Routern, um das bilden eines Angriff-Botnetzes.

Systeme von Privatleuten werden nur dann für weitere Angriffe verwendet, wenn diese leicht zu infiltrieren sind. Das wäre hier mit ungeschützten SSH der Fall.

Ich denke das was tabbs und ich meinen ist, dass es nicht schaden kann in Zukunft die eine oder andere Sicherheitsmaßnahme zu implementieren. Dort wo es Sinn macht und nottut.

Die Entwickler verbringen eine tolle Arbeit und ich kenne das, dass man lieber neue Funktionen schaffen will, als auf die Sicherheit zu achten. Aber dennoch musst das Thema zumindest einmal angesprochen werden. Ein striktes ignorieren oder ablehnen bringt einen da auch nicht weiter, eher mal ein drüber Nachdenken und Erfahrung sammeln.

Auf diesen Beitrag habe ich nur geantwortet, weil ich anderen die Zeit ersparen möchte sich jeden Dienst anzuschauen und zu prüfen ob dieser für Angriffe ausgenutzt werden könnte. Mir war aber die Variante von tabbs zu Holzhammermäßig, weil ohne Dienste ist die Box auch nicht zu gebrauchen.

hallo

Wenn jemandem sofort die Hose Flattert weil wieder ein Gerät am Internet hängt,der soll halt sein Linuxbox zum TV Schauen vom Internet nehmen.
Keine Linuxbox braucht für den normalen TV Genuss über Sat oder Kabel das Internet,ist doch ganz Einfach.

gruss

Danke, @manti7, für Deine Friedensworte.
Ich will niemanden angreifen und weiß die Entwicklungsarbeit zu schätzen. Mir geht es in der Tat lediglich darum, potentielle Schwachstellen zu benennen. Ob und wie man sie schließt, können die Entwickler diskutieren. Vermutlich reicht es zunächst vollkommen, alle passwortlosen Root-Zugriffe zu unterbinden. Mit ein bißchen sudoers-"Magie" liessen sich einige der Probleme an der Shell entschärfen.
Was aber - Frieden hin oder her- gar nicht geht, ist, einschlägigen Exploits jede seit Jahren dokumentierte Tür zu öffnen.
Telnet? geht gar nicht. Braucht niemand - der Laie schon gar nicht, weil er nicht mal weiß, was das ist.
ungeschütztes SSH? braucht kein GUI und kein Laie
passwortloses SMB? geht nur dann, wenn die Sandbox klar definiert ist.
FTP? das gleiche in Grün

Bitte, nehmt das nicht auf die leichte Schulter. Mit wenig Aufwand ließe sich das System deutlich besser sichern. Einen Hochsicherheitstrakt will ich auch nicht, nur ein wenig dokumentierte Basis-Sicherheit.

Mich interessiert das auch, also nenne mal ein paar Exploitz die wirklich eine Enigma Box mit (abgespecktem) Linux infiziert haben.
Ich habe davon noch nichts gehört bisher, aber kann ja durchaus sein.
Wenn auf diesen Boxen was falsch läuft, dann sind es meißt irgendwelche fremden Plugins die willentlich installiert sind.