Hallo an alle,
ich suche einen http-Server für Protokolltests, der sehr einfach zu konfigurieren ist. Er soll nur ein paar http Seiten und ein paar Bimärfiles local ausliefern. (für Debian) Apache ist jedenfals viel zu groß. Hat jemand Vorschläge?
Thomas Schlegel
On 22.03.05 Thomas Schlegel (fx@solarwatt.de) wrote:
Moin,
ich suche einen http-Server für Protokolltests, der sehr einfach zu konfigurieren ist. Er soll nur ein paar http Seiten und ein paar Bimärfiles local ausliefern. (für Debian) Apache ist jedenfals viel zu groß.
boa?
H.
Am Dienstag, 22. März 2005 16:25 schrieb Thomas Schlegel:
ich suche einen http-Server für Protokolltests, der sehr einfach zu konfigurieren ist.
Nimm thttpd. Der braucht (fast) überhaupt nicht konfiguriert zu werden. Oder fnord von fefe.
Sind aber beide (nachweislich) exploitbar durch Buffer Overruns. Noch besser wäre also einer, der als Skript (Python/Ruby/...) vorliegt. Da gibt es einige, hab aber selbst noch nicht probiert, welcher davon für schnelle Tests tauglich ist.
Josef (mit Nachholebedarf)
am 22.03.2005, um 16:33:39 +0100 mailte Josef Spillner folgendes:
Am Dienstag, 22. März 2005 16:25 schrieb Thomas Schlegel:
ich suche einen http-Server für Protokolltests, der sehr einfach zu konfigurieren ist.
Nimm thttpd. Der braucht (fast) überhaupt nicht konfiguriert zu werden.
ACK.
Sind aber beide (nachweislich) exploitbar durch Buffer Overruns. Noch besser
Oops. Echt?
Andreas
Hi Josef,
On Tue, Mar 22, 2005 at 16:33:39 +0100, Josef Spillner wrote:
Nimm thttpd. Der braucht (fast) ueberhaupt nicht konfiguriert zu werden. Oder fnord von fefe.
ACK. thttpd ist verdammt schnell und sehr einfach zu konfigurieren. Allerdings ist er ungeeignet fuer Dateien, die groesser als 2GB sind.
Sind aber beide (nachweislich) exploitbar durch Buffer Overruns.
Quelle?
Ansonsten laesst sich thttpd mit Bordmitteln soweit absichern, dass ein Buffer Overflow nicht viel bringt: (als root gestartet) thttpd -d /dir/to/serve -r -p port
Durch diesen Aufruf chrootet der thttpd nach /dir/to/serve, wirft danach die root-Rechte weg und laeuft als User nobody weiter.
Falls durch einen Buffer Overflow von aussen Code eingebracht wird, kann der Angreifer * keine Device Nodes erzeugen * keinen erneuten chroot()-Aufruf machen, um aus dem Jail auszubrechen * ausser den Files in /dir/to/serve nichts vom Filesystem sehen
bye, Chris
Am Dienstag, 22. März 2005 18:47 schrieb Christian Perle:
ACK. thttpd ist verdammt schnell und sehr einfach zu konfigurieren. Allerdings ist er ungeeignet fuer Dateien, die groesser als 2GB sind.
Das sollte man schnell beheben können (-DLARGE_FILE...), ist aber natürlich unfein.
Sind aber beide (nachweislich) exploitbar durch Buffer Overruns.
Quelle?
Die finstere Vergangenheit. Es mag ein wenig reißerisch sein, Anwendungen mit ehemaligen Schwachstellen so einzuschätzen, aber ich traue sowas nicht wirklich über den Weg. Das gilt für lighttpd genauso. Solche BOs sind zwar nicht die alleinigen Sicherheitsprobleme, stellen aber nach wie vor den größten Teil dar. Darauf aufbauend dann die URL-Handler-Probleme mit %00 und dergleichen. Gibt für alles Bibliotheken, die auch nicht alle mehr Code enthalten, als wenn man es sauber selbst implementieren würde. Mit Skriptsprachen entfallen zudem die lästigen zusätzlichen Dependencies, die haben nunmal eine erhöhte Basisfunktionalität, welche über eine POSIX-normierte libc der 80er hinausreicht.
Ansonsten laesst sich thttpd mit Bordmitteln soweit absichern, dass ein Buffer Overflow nicht viel bringt: (als root gestartet) thttpd -d /dir/to/serve -r -p port
Nur blöd, dass Sandkästen allein als Root durchführbar sind und nicht als Nutzer. Das Konzept wäre nämlich gut darauf übertragbar, seine eigenen Skripte auszuführen, ohne sich das wertvollste auf einer Einzelplatzmaschine (nämlich $HOME) zu zerschießen. Es gibt Erweiterungen zum Kernel die dies erlauben, und das ist für interaktive Systeme unverzichtbar, auch wenn "unsere" Mailclients keine Anhänge automatisch ausführen sollte man sich nicht nur auf diese eine Sicherheitsschicht verlassen.
Josef
Am Dienstag, 22. März 2005 20:59 schrieb Frank Berek:
Dann benutzt du hoffentlich keinen Linuxkernel. ;)
Meist schon, manchmal auch andere. Beim Kernel wird man um eine hardwarenahe Programmierung nicht umhinkommen, denn er soll ja genau die Hardware (*) abstrahieren. Alles was aber darauf läuft sollte keine Annahmen über Pointergrößen, Registeranzahl, Byte-Anordnung und dergleichen machen brauchen. Soweit die Theorie im Jahre 2005...
Josef
(*) Def. Hardware: oft nichtfunktionierende (zumindest nicht nach Spezifikation) Geräte, die teuer sind, undokumentiert bis ins Hinterletzte, mit sich selbst inkompatibel und mit so kranker Firmware ausgestattet, dass der Kernel softwareseitig erstmal was fixen muss, bis was läuft
Hi Josef,
On Tue, Mar 22, 2005 at 20:48:47 +0100, Josef Spillner wrote:
(*) Def. Hardware: oft nichtfunktionierende (zumindest nicht nach Spezifikation) Geraete, die teuer sind, undokumentiert bis ins Hinterletzte, mit sich selbst inkompatibel und mit so kranker Firmware ausgestattet, dass der Kernel softwareseitig erstmal was fixen muss, bis was laeuft.
Dem ist nichts hinzuzufuegen.
bye, Chris
Hi Josef,
On Tue, Mar 22, 2005 at 19:22:22 +0100, Josef Spillner wrote:
ACK. thttpd ist verdammt schnell und sehr einfach zu konfigurieren. Allerdings ist er ungeeignet fuer Dateien, die groesser als 2GB sind.
Das sollte man schnell beheben koennen (-DLARGE_FILE...), ist aber natuerlich unfein.
Wird nicht so einfach. Das Teil benutzt mmap(), um die Dateien rauszugeben.
Quelle?
Die finstere Vergangenheit. Es mag ein wenig reisserisch sein, Anwendungen mit ehemaligen Schwachstellen so einzuschaetzen, aber ich traue sowas nicht wirklich
Hey, thttpd ist nicht wu-ftpd :)
bye, Chris
Am Dienstag 22 März 2005 16:25 schrieb Thomas Schlegel:
Hallo an alle,
ich suche einen http-Server für Protokolltests, der sehr einfach zu konfigurieren ist. Er soll nur ein paar http Seiten und ein paar Bimärfiles local ausliefern. (für Debian) Apache ist jedenfals viel zu groß. Hat jemand Vorschläge?
lighttpd?
A. Kühnlein
Thomas Schlegel
Lug-dd maillist - Lug-dd@schlittermann.de http://mailman.schlittermann.de/mailman/listinfo/lug-dd
On Di, 22.03.2005, 16:34, Alexander Kühnlein sagte:
Am Dienstag 22 März 2005 16:25 schrieb Thomas Schlegel:
Hallo an alle,
ich suche einen http-Server für Protokolltests, der sehr einfach zu konfigurieren ist. Er soll nur ein paar http Seiten und ein paar Bimärfiles local ausliefern. (für Debian)
http://packages.debian.org/cgi-bin/search_packages.pl?version=all&subwor...
hilft dir vielleicht weiter.
Gruß Jan
Hallo,
Thomas Schlegel fx@solarwatt.de (Di 22 Mär 2005 16:25:57 GMT):
Er soll nur ein paar http Seiten und ein paar Bimärfiles local ausliefern. (für Debian) Apache ist jedenfals viel zu groß. Hat jemand Vorschläge?
apt-cache search 'http server'
.. wobei ich mich trotzdem für den Apache entscheiden würde, denn für den o.g. Zweck ist er sehr einfach zu konfigurieren - bzw. eigentlich tut er genau das, was oben verlangt ist.
Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann
lug-dd@mailman.schlittermann.de
-
Alexander Kühnlein -
Andreas Kretschmer -
Christian Perle -
Frank Berek -
Heiko Schlittermann -
Hilmar Preusse -
Jan Dittberner -
Josef Spillner -
Markus Ullmann -
Thomas Schlegel