[Eisfair] warum ss statt netstat? (was: eisgraph 1.2.8)

Marcus Roeckrath marcus.roeckrath at gmx.de
So Jul 29 20:40:13 CEST 2018


Hallo Kay,

Kay Martinen wrote:

> Noch (vielleicht) nicht. Ich wüßte jetzt keinen aktuellen
> anwendungsfall, aber das mag sich ändern.

Nein, denn es gibt adaquaten aktuellen Ersatz (siehe Wikiartikel).

Die alten Tools werden von (dem meisten/alle) anderen Distris als deprecated
gekennzeichnet - uns somit abgekündigt.

Ohne Not gibt es keinen Grund an diesen festzuhalten.

> Natürlich ist es mein Problem das ich ifconfig (netstat u.a.) kenne/mag
> und mich mit dem ip-befehl (oder hier: ss u.Co.) und der anderen und
> umständlicheren Methode nicht anfreunden mag. Aber meine Kernfrage zu
> 'nestat' lautete auch: Welche Probleme (außer 'lange nicht gepflegt')
> soll es denn damit geben - auf einem Eisfair-Server?

Hat doch nicht speziell mit eisfair zu tun.

> netstat u. co. kann man doch IMHO nur über die Kommandozeile erreichen
> (falls man kein systat o.a. im x|inetd aktiviert) und darum sehe ich da
> kein wirkliches Sicherheitsrisiko.

Jedes Programm kann Fehler haben, die eventuell auch kritisch nutzbar sind;
egal welche Fehler noch in den alten netztools stecken, sie werden nicht
mehr gefixt.

Wer nicht verzichten kann oder möchte kann das dann - oder jetzt schon - als
Paket installieren - auf eingene Verantwortung.

> Ich habe eben
> https://web.nettworks.org/wiki/display/e/Veraltete+Netzwerk-Tools
> gefunden und gelesen. Dennoch kann ich keine "unbekannten
> Sicherheitsrisiken"

Ich bin kein Sicherheitsforscher, der den Code nach nutzbaren Lücken
absucht. Das ist auch nicht das Anliegen des Wikiartikels.

> sehen wenn man die tools nur erreicht wenn jemand 
> shell Zugang hat. Wenn das ein Angreifer ist dann hat man eh ganz andere
> sorgen als möglicherweise unbekannte Fehler in einem tool.

Ich maße mir nicht an, irgendeine Ahnung davon zu haben, wie man
Programmierfehler - auch in Kommandozeilenprogrammen - ausnutzen kann.

Denkbar wäre aber, dass ein normaler User dadurch eine ausweitung seiner
Rechte erreichen kann - ein ganz normaler Weg, um die volle Kontrolle über
ein System zu gewinnen.

> Ich wüßte 
> auch nicht wie man netstat u. Co. zur Rechteausweitung nutzen könnte.

Solange der Code fehlerfrei ist, geht das bestimmt nicht. Sind aber z. B.
Buffer overflows etc. möglich, dann könnten die genau zu einem solchen
Szenario führen.

> Bleibt als Bonus nur Performance-gewinn in unbekannter Größe (oder
> Kleinheit)?

Jeder Programmierfehler birgt potentiell die Gefahr, dass er für gravierende
Dinge genutzt werden kann.

Dieses Risikos muss sich jeder Anwender einer solch alten Source bewußt sein
und kann dann entscheiden, ob er die alten Tools haben will oder nicht.

Gejammert wird aber bitte nicht, wenn der WorstCase eintreten sollte.

Und wir sorgen halt dafür, dass die alten Tools in Paketen nicht mehr
genutzt werden, so dass von "offizieller" Seite kein Zwang für die alten
Tools mehr besteht.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair