Wie man sich mit sudo(8) gezielt in den Fuss schiessen kann
Geschrieben am 24-11-2009 - ⧖ 2 minDas man es kann sollte ja bekannt sein; und das man es kann weil $ADMIN ein gutgläubiger Mensch ist
(was in dem Job absolut fehl am Platz ist) oder null Ahnung hat (was noch schlimmer ist) ist ja auch
noch irgendwie im Bereich des Möglichen, aber das man es kann weil beides auf einmal
zutrifft, war sogar mir neu.
$FIRMA hat mehrere Programmierer angestellt, welche u. a. Client-/Server-Applikationen erstellen.
Dazu hat jeder seinen eigenen Useraccount incl. SSH, VNC, FTP, SVN und wasweißichnochalles. Außerdem
stehen den Programmierern noch einige Kisten im Netzwerk zur Verfügung, auf denen sie ebenfalls
einen Account haben um dort ihre Clients/Server abzulegen um sie zu testen. Die Programmierer sind
alle Mitglied der extra angelegten Gruppe "developer" (was ja auch durchaus sinnvoll sein kann). Ab
und zu wird $ADMIN gebeten einem Developer mal schnell einen Auszug aus einem Logfile zu schicken.
Das war ihm auf Dauer anscheinend zuviel Arbeit, so dass er der Gruppe "developer" mittels einem
Eintrag in der /etc/sudoers tcpdump(8) erlaubt hat (mit NOPASSWD versteht sich). Einige
werden jetzt wahrscheinlich schon die Hände über dem Kopf zusammenschlagen, aber Ruhe bewahren.. der
Admin ist zwar ein Idiot, aber die User absolut unverantwortlich (was daran liegt das der Admin ein
Idiot ist).
Kein User hatte unterschiedliche Passwörter für SSH, VNC, FTP, SVN und bei jedem User war das
Passwort auf dieser Kiste, das gleiche wie auf allen anderen Kisten auf denen $User einen Account
hatte. Ergo %user: sudo tcpdump -A -X -n port 21 eingeben, nach USER. und
PASS. suchen (All hail ftp!!!111!) und sich dann mit dem gleichen Passwort via SSH oder VNC
einloggen. Nachdem ich mich in Anwesenheit des Chefs und des Admins mit verschiedenen Logins
authentifiziert habe, kam die Erklärung seitens des Admins überhaupt. Sinngemäß (ich hab den genauen
Wortlaut nicht mehr im Kopf) "Die User sind vertrauenswürdig und wenn ich sie überall ein anderes
Passwort verwenden müssen, können sie es sich nicht merken oder schreiben es auf und legen es unter
die Tastatur".
Und ich werde doch tatsächlich immer wieder gefragt wieso ich alle Menschen prinzipiell hasse und für Idioten halte.