Denial of Service mit temporären Dateien

[AlphaCentauri]

Wieso eignen sich mktemp(1), mktemp(3) und mkstemp(3) für DoS Attacken?
Warum sind sie dafür anfällig?
Was kann man dagegen tun oder welche anderen Funktionen verwenden?

THX
AlphaCentauri

[_m3]

+ Weil man mit diesen Funktionen schnell und einfach Dateien auf der Festplatte erstellen kann
+ Diese dann die HD zumüllen
+ bis schließlich kein Platz mehr auf der HD ist
+ und das OS abschmiert, wenn das /tmp auf der selben Partition wie das root fs liegt

Was man dagegen tun kann?
+ Den Usern den Zugriff auf Compiler & Co entziehen
+ Jails für jeden Benutzer einrichten (dann schadet er sich nur selbst, aber das System läuft weiter).
+ dem /tmp eine eigenen Partition spendieren (am besten dem /var auch gleich)

OK?

[citizen428]

Zitat:

Original geschrieben von _m3
+ und das OS abschmiert, wenn das /tmp auf der selben Partition wie das root fs liegt

AFAIK sollte doch ab einer gewissen Grenze (5% IIRC) Schreibzugriff für Nicht-Rootuser nicht mehr möglich sein um genau so etwas zu verhindern.

Bild ich mir das jetzt ein oder stimmt das?

[_m3]

Also ich hab noch nie was davon gehört und Google aht auf die Schnelle auch nix ausgespurckt

[citizen428]

Hm, ich bin mir aber fast sicher daß ich das wo gelesen hab. Wenn ich es wiederfinde poste ich hier einen Link!

[_m3]

Ha, Alpha Centauri!
Ich weiss jetzt, was gemeint ist.
Siehe
http://www.attrition.org/security/de...ktemp.dos.html
http://www.geocrawler.com/archives/3.../12/0/2218313/

Zitat:

deny-mktemp.c:
/* This programs opens the complete set of temporary files tested with mktemp()
for a given template (with 6 X`s), usually resulting in the program
terminating upon failure to find an open file. In pop3d, this prevents a
pop client from reading their mail.

Dave M. (<EMAIL: PROTECTED>)
*/

[Clystron]

Beim ext2-fs kann man einen bestimmten Prozentsatz der Platte für den Root reservieren. Bei anderen FS weiss ichs ad hoc nicht...
Bringt aber nur begrenzt was weil diverse Dienste die den Platz brauchen könnten eh nicht als root laufen

Zum Thema volle Festplatte: Ich hatte schon mehrmals ein volles root-fs (habe nur root und home-partition) und das System lief tadellos weiter...
Ein paar Dienste funktionieren halt nicht mehr oder stellen von sich aus den Dienst ein (Sendmail, etc), aber von einem Systemabsturz keine Spur. Konnte einfach aufräumen und das System lief ganz normal weiter..

Am besten sind in so einem Fall aber natürlich quotas u.ä.

mfg
Clystron

[citizen428]

Zitat:

Original geschrieben von Clystron
1. Beim ext2-fs kann man einen bestimmten Prozentsatz der Platte für den Root reservieren. Bei anderen FS weiss ichs ad hoc nicht...

Super danke! Ich war auch schon auf der Spur daß es etwas mit ext2 zu tun hat, hab's aber nicht geschafft eine vernünftige Google-Suche zu formulieren...

[Clystron]

Die Manpages zu mke2fs und tune2fs werden dir helfen...

Man kann sogar festlegen welcher User und welche Gruppe den reservierten Platz verwenden darf

mfg
Clystron

[citizen428]

Zitat:

Original geschrieben von Clystron
Die Manpages zu mke2fs und tune2fs werden dir helfen...

Danke, aber für mich ist's eh nicht so relevant weil ich kein ext2 verwende und auch ein Freund mehrerer Partionen bin. Zumindest auf Servern, bei Workstations ist's mir eher egal.

Es ging mir hauptsächlich darum ob ich mir jetzt eingebildet hab das gelesen zu haben oder nicht, du weisst schon, so ähnlich wie wenn einem ein Name "auf der Zunge liegt". Aber das hat sich ja jetzt erledigt.

Danke,
citizen428