Moin!

Wie sieht es konkret bei einer mySQL-Datenbank mit der Datenbankdatei aus; mit welchem User:Group (Linux/Unix) und welchem Moduls wird diese im Dateisystem geschrieben?

User:Group ist die des Datenbankservers. Und was meinst du mit "Moduls"?

Ich meine die Zugriffsrechte (Stichwort umask) der Datenbank-Datei.

Meine MySQL-Installation auf Gentoo sagt: /var/lib/mysql als Datenverzeichnis gehört mysql:mysql mit Mode 0750 - Benutzer, die nicht der Gruppe mysql angehören, kommen in das Verzeichnis also nicht rein. Innerhalb dieses Verzeichnisses ist je Datenbank ein Unterverzeichnis mit mysql:mysql und Mode 0700 - außer dem User mysql kommt da also auch niemand ran (immer abgesehen von root).
Die Dateien in diesen Unterverzeichnissen gehören ebenfalls mysql:mysql mit Mode 0660, sie sind also gegen Schreib- oder Lesezugriffe von fremden Usern und Gruppen geschützt. Dieser Schutz ist nicht umgehbar (außer man schafft es, das System zu hacken).

Insofern ist für sämtliche Prozesse auf dem System, welche Zugriff auf eine MySQL-Datenbank haben, der einzige Weg der Kontakt zum MySQL-Daemon und eine dabei eventuell geforderte Anmeldung mit Benutzername und Passwort.

Bedingt schon: Durch PHP lassen sich auch eigene Prozesse Starten, die im System unter der Annahme, Safe-Mode ist nicht aktiviert, keiner Document-Root unterliegen.

Richtig, aber diese Prozesse starten in der Regel unter der Apache-Userid, wahlweise (sofern mit suexec konfiguriert) auch unter der Userid des Dateibesitzers der PHP-Datei, und eventuell (sofern die Account-Zugangsdaten bekannt sind) auch unter einer anderen Userid, die dem Inhaber/Autor des PHP-Skriptes (oder jedes anderen Programms, welches sich vom Webserver oder über die Shell starten läßt) bekannt ist, niemals jedoch unter der Userid "mysql" oder als Gruppenmitglied von "mysql" (letzteres natürlich nur, wenn der Admin nicht totalen Mist gebaut hat ;) ).

(Ich bin ein erklärter Datenbakmuffel, mich interessieren in diesem Sinne nicht die Zusammenhänge dieses Threads und ihre Auswüchse, sondern mehr die Sicherheit des Dämons "Datenbank" auf einem Linuxsystems.)

Du darfst dessen Sicherheit als gegeben annehmen. An die Datenbank kommt man als normaler User (das schließt den Apache-User mit ein) nur über den vorgesehenen Mechanismus heran. Es wäre eine heftige Sicherheitslücke, die ganz bestimmt schon entdeckt worden wäre, wenn man ohne Passwortabfrage auf die DB-Files zugreifen könnte. Millionen Shared-Hosting-Server hängen davon ab (weshalb die Sicherheit, dass da nichts Lückenhaftes zu entdecken ist, relativ hoch ist).

• Sven Rautenberg

Moin!

Social Engineering ist aber was anderes, als wenn der Admin in der User-DB nachsieht, welches Passwort benutzt wird.

i + i = -1

und so hat auch Social Engineering noch andere Betrachtungsrichtungen.

Die Wikipedia definiert Social Engineering jedenfalls als Methode zur Erlangung vertraulicher Informationen durch Ausnutzung _sozialer_ Kontakte. Soziale Kontakte finden nur zwischen Menschen statt, nicht zwischen Mensch und Anmeldeformular bzw. Benutzerdatenbank.

Abgesehen davon:

i + i = 2i

i * i = -1 (sofern i = imaginäre Einheit)

Wenn ein Admin nun das bekannte Passwort nimmt, und dann damit schaut, ob er den User nicht noch irgendwo anders aufspüren kann (Bei der Bank), dann ist das gewiss auch Social Engineering., nur eben aus einem anderen Betrachtungswinkel.

Nein, das ist erstmal Mißbrauch einer Vertrauensstellung und zweitens noch nicht mal irgendeine Form von "Engineering", geschweige denn "social".

Wenn der böse Angreifer sich mit dem Benutzer oder dem Admin abends auf ein Bierchen hinsetzt und beim zwanglosen Plaudern das Passwort rauskriegt, dann ist das Social Engineering.

Systeme, die das Passwort im Klartext speichern, sind Schweinerei!
Sie fördern den Missbrauch.

Das sehe ich nicht. Der Admin hat sowieso alle Rechte im System, Mißbrauch des eigenen Systems wäre also leicht auch ohne Kenntnis des wahren Passwortes möglich - oder das Herausfinden desselben ist nur eine kleine Fingerübung.

Die Kenntnis über _ein_ Passwort im eigenen System versetzt den Admin aber noch nicht in die Lage, zielgerichtet weitere Accounts des Benutzers anzugreifen. Erstens: Er kennt die Existenz der Accounts nicht. Zweitens: Er kennt den dortigen Benutzernamen nicht. Drittens: Er kennt das dortige Passwort nicht.

Und viertens: Der Admin muß entsprechend korrupt sein - ist er es nicht, besteht natürlich auch keine Gefahr.

Die ersten drei Aspekte allein verhindern schon, dass der Admin einen Ansatzpunkt hat. Die Kenntnis des Passwortes ist genau EIN Baustein zu einem erfolgreichen Login - und da noch nicht einmal sicher ist, dass das eine bekannte Passwort anderswo ebenfalls genutzt wird, ist diese Kenntnis wirklich nur von geringem Wert.

Das Zumailen eines Passwortes geht selbstverständlich auch bei einem verschlüsselten Passwort. Man sendet dann eben ein neues zu. Dieses kann aber vom User sofort geändert werden und die Offenzeit des Useraccounts ist auf die von der Zusendung bis zur Änderung begrenzt.

Wenn du den Benutzer mit generierten Passwörtern versorgst, die er sich nicht selbst wählen kann, dann hast du das Problem ebenfalls nicht. Generierte Passwörter sind leicht zu ändern und entsprechen hinsichtlich ihrer Erratbarkeit höheren Ansprüchen. Insbesondere entspricht das Passwort mit extrem hoher Wahrscheinlichkeit keinem anderen genutzten Passwort des Benutzers. Insofern ist es dann auch wieder egal, ob das Passwort verschlüsselt oder unverschlüsselt gespeichert ist.

• Sven Rautenberg