Moin Liste
Am Mittwoch, 16. Januar 2008 20:13 schrieb Josef Spillner (kuarepoti-dju.net):
Em 16/1/2008, "Alexander Wanning" alexanderwanning@gmx.de escreveu:
Jetzt weiss ich zwar um das Problem mit den Komponenten, kann sie aber selbst mangels PHP-Kenntnissen nicht umschreiben. Könnte ich aus Sicherheitsgründen nicht ein Script erstellen, welches als Cronjob läuft in verschiedenen Abständen und folgendes macht:
[...]
Das mag jetzt zwar etwas akademisch klingen, aber du hast dann eine Race Condition, also ein Zeitfenster, in welchem die Angreifer bereits tätig geworden sein können. Solange dieses größer Null ist, ist auch die Wahrscheinlichkeit eines Angriffs größer Null. Das Risiko würde ich nicht eingehen wollen.
Eventuell wäre "dnotify" auch eine "Lösung". Also keine Lösung im Sinne von Lösung des Problems sondern im Sinne von kurieren der Symptome. Neuere Kernelversionen informieren das System über Änderungen an Verzeichnissen oder Dateien. Dies Kernelschnittstelle muss man nur mit einem geeigneten Programm überwachen. Und "dnotify" ist so ein Programm.
dnotify --background --attrib /Pfad/zur/Datei -e chmod \ 644 /Pfad/zur/Datei/KonfigDatei
Das sollte sofort bei einer Änderung der Dateiattribute ein chmod aufrufen. Das Zeitfenster für eine Race Condition wird deutlich schmaler.
Ciao
Jens
PS: dnotify überwacht auch Verzeichnisse rekursiv. Aber da es nur beim Starten die Verzeichnisse "erfasst" bemerkt es zwar neu angelegte Unterverzeichnisse aber nicht mehr Änderungen da drin. Da muss man dnotify neu starten.