Zugschlusbeobachtungen (Entries tagged as admintipp)

Daten mit Privilege Escalation abholen über eine named pipe

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Mon, 11 Feb 2013 09:58:00 +0100

Aufgabe: Transportiere Daten von einem Host auf den anderen über eine ssh-Verbindung. Dafür kann man scp oder sftp verwenden, wenn der eigene Account auf der anderen Seite die Daten lesen darf:

myuser@$TRGHOST$ scp $SRCHOST:$PATH/file .

Interessanter wird das dann, wenn die Daten auf der anderen Seite vom eigenen Account nicht gelesen werden können, man also erst einmal sudo bemühen muss, um die Daten lesen zu können. An dieser Stelle versagt scp bereits - es sei denn, man kann sich auf der anderen Seite als anderer User einloggen:

myuser@$TRGHOST$ scp $ANDERER_USER@$SRCHOST:$PATH/file .

Nur, das scheitert oft daran, dass man das Passwort von $ANDERER_USER nicht kennt, nicht neu setzen kann und/oder seinen ssh-Key nicht in $ANDERER_USER/.ssh/authorized_keys fallen lassen kann oder darf.

Die kanonische Umgehung hierfür war immer

myuser@$TRGHOST$ ssh $SRCHOST sudo -u $ANDERER_USER cat  $PATH/file > file

gerne auch für ganze Unterverzeichnisse mit tar:

myuser@$TRGHOST$ ssh $SRCHOST sudo -u $ANDERER_USER tar --create --$ZIP --file -  --directory $PATH . | tar --extract
--$ZIP --file -

Die Auswahl von $ZIP hängt von der Dicke der Verbindung zwischen den beiden Systemen und ihrer Ausstattung mit CPU ab.

Dieser Trick funktioniert neuerdings allerdings nicht mehr. sudo beklagt sich darüber, dass es kein pty vorfindet, und ssh -t zu benutzen scheitert oftmals daran, dass ein pty die Daten nicht hundertprozentig clean überträgt. Außerdem ist das Caching von sudo-Credentials seit etlichen Monaten an das eine pty gebunden, so dass die Passwortabfrage auf jeden Fall in der Pipe erfolgen muss. Früher hat es gereicht, dann sudo -v in einer anderen Shell auf $HOST auszuführen, aber dass das inzwischen nicht mehr geht, ist eigentlich ganz gut so.

Abhilfe kommt hier in Form der ersten sinnvollen Anwendung einer Named Pipe meiner Unix-Laufbahn, indem man auf der einen Seite das schreibende tar (mit sudo!) aufruft, dass es in die Named Pipe schreibt und man dann die Daten ohne besondere Privilegien von einer anderen Maschine abholt:

myuser@$SRCHOST$ mkfifo foo; chmod 666 foo
myuser@$SRCHOST$ sudo -u $ANDERER_USER tar --create --$ZIP --file foo --directory $PATH .
myuser@$TRGHOST$ ssh $SRCHOST cat foo | tar --extract --$ZIP --file -

Wenn die Daten irgendwelche Wichtigkeit haben, möchte man natürlich über geeignete Rechte auf der pipe dafür sorgen, dass nicht irgendjemand anders vor einem selbst auf die pipe connected und die Daten abholt; für den Hausgebrauch tut es chmod 666.

internet.t-mobile ist nicht internet.t-mobile.de

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Mon, 13 Oct 2008 12:24:12 +0200

Beim magentafarbenen UMTS/GPRS-Internet lautet der korrekte String für den APN “internet.t-mobile” und nicht “internet.t-mobile.de”.

Trägt man den falschen APN ein, landet man in einem Netz, aus dem man surfen kann, aber sonst nichts: Außer TCP/80 und TCP/443 habe ich nichts gesehen was funktioniert hätte. Ich war schon ziemlich stinkig, wie Vendor T es wagen kann, sowas kastriertes als Internetzugang zu verkaufen, aber nach Korrektur des APN tat es dann auch mit OpenVPN, ssh und nntp.

2006-10-14 - Admintipp des Tages

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Sat, 14 Oct 2006 16:55:56 +0200

Wenn man

$ sudo rsync --archive --hard-links --exclude /dev --exclude /proc --exclude /sys --rsh=ssh /
root@hostname.example:/mnt/hda1

tippt, gibt man - da man ja gerade vorher schonmal sudo gemacht hat - nur das ssh-Passwort der Gegenseite ein.

Da die Gegenseite komplett leer ist, dauert das dann eine Weile. Und weil man nach dem Ablauf des rsync sicherheitshalber den Befehl gleich nochmal absetzt, gibt man das Passwort er Gegenseite nochmal ein.

Um sich dann zu wundern, warum es nicht funktioniert.

Bis es einem dämmert, dass der Password:-Prompt gar nicht vom sshd kommt.

Sondern vom sudo.

Und man das Benutzerpasswort des lokalen Rechners braucht.

Ach ja: Bei mir ist normalerweise sowohl der direkte root-Login als auch der ssh-Login mit Passwort gesperrt. Die entfernte Seite stand allerdings im Rescuesystem.

2006-10-12 - Admintipp des Tages

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Thu, 12 Oct 2006 13:43:04 +0200

Der VLAN-Beauftragte rät: Ja, hp ProCurve Switches 2650 haben für die Dual-Personality-Ports zwei Registersätze. Und nein, es ist deswegen nicht zielführend, zuerst den Port zu konfigurieren, dann den GBIC reinzustecken und das Ding so dann zum Kunden zu shippen. Weil, mit einem Port, der untagged im Default-VLAN ist, kann der Kunde nicht so viel anfangen.

Von Tastaturen und Netzstörungen

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Tue, 13 Dec 2005 21:41:58 +0100

Es ist generell ratsam, wenn man schon am packen ist, und den USB-Hub schon aus dem Notebook gezogen hat, das noch fällige Ende-Kommando an ein im Netz stehendes System nicht auf der soeben abgetrennten USB-Tastatur eintippen zu wollen.

Außerdem ist es empfehlenswert, bei Nichtreaktion der ssh-Session nicht gleich Zeter und Mordio auf den Billighoster zu schreien, sondern erstmal zu gucken, ob das Problem nicht viel lokaler liegt.

Time Woes

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Tue, 24 May 2005 11:46:51 +0200

Willst Du, dass dein Router die richtige Zeit in sein Log schreibt, dann ...

... musst Du ihm einen NTP-Server geben. Das bedeutet, dass Du eine IP-Adresse eintragen sollst, die nicht auf dem Router selbst, sondern woanders gebunden ist. Duh.

sudo umount /var; sudo /usr/bin/shoot -t foot

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Tue, 17 May 2005 12:35:09 +0200

Admintipp des Tages: Willst Du /var umounten, sieh zu, dass Du eine root-Shell offen oder das wirkliche root-Passwort parat hast. sudo wird Dich ohne /var nicht wirklich mögen, und der verbleibende Lichtblick ist der, dass Dein MTA die “security warning” ohne /var auch nicht wird verschicken können.