[Update] su und der Admin

Posted Dezember 15, 2006 * Comments(3)

Also folgendes ist passiert: Mein Mitbewohner hat mir erz?hlt das er eine Mail vom Admin bekommen hat, weil er ein su auf sich selber gemacht hat. Da dacht ich mir, probier ich das auch mal ;) Mal gucken ob ich auch eine Mail bekomme. Wollte eh schon immer den Admin besser kennen lernen :D . Und so kams dann auch, dass ich am n?chsten Morgen um 8:19 eine Mail bekam.

Hallo Herr Richter, koennen Sie mir bitte erklaeren, wie solche Meldungen entstehen?

Dec 11 21:35:02 zeus su: [ID 366847 auth.notice] ‘su richterh’ succeeded for richterh on /dev/pts/21

Dec 11 21:35:10 zeus su: [ID 810491 auth.crit] ‘su root’ failed for richterh on /dev/pts/21

Dec 11 21:36:14 zeus su: [ID 810491 auth.crit] ‘su dobritiu’ failed for richterh on /dev/pts/21

Dec 11 21:36:33 zeus su: [ID 366847 auth.notice] ‘su dobritiu’ succeeded for richterh on /dev/pts/21

freundliche Gruesse, Ingo Schaefer

--

So so … wie konnte das denn nur passieren? War doch gar nicht mit absicht… :P Also erkl?ren wir ihm das mal.

Hallo Herr Sch?fer,

nat?rlich kann ich ihnen dieses erkl?ren.

Fall 1 (su richterh):

dies diente zur Erkl?rung. Ich habe meinem Komulitonen, Herrn Dobritius, erkl?rt, dass man sich nicht unbedingt abmelden muss um ein anderer user zu werden. Ich habe als Fallbeispiel ein su auf ich selber gemacht.

Fall 2 (su):

Dies war eine Fehleingabe von mir. Ich habe einfach den Benutzernamen vergessen. Sie kennen das ja bestimmt. Zum Beispiel Sie arbeiten auf einem Linux Rechner unter root und machen “ssh zeus.fh-brandenburg.de” statt “ssh <user>@zeus.fh-brandenburg.de”. Und jetzt sagen Sie mir nicht, dass das Ihnen noch nie passiert ist. Fehler sind halt menschlich und ich bin halt noch keine Maschine.

Fall 3 (su dobritiu):

Also das kam folgenderma?en: Der Jan, also der Herr Dobritis, und ich, also der Herr Richter, hatten uns verabredet um ein wenig zu arbeiten und ein Bierchen zu trinken. Sie wissen schon… W?hrend wir da so sa?en, fiel dem Jan, also dem Herrn Dobritius, ein, dass er noch eine seeeehr wichtige e-Mail erwartete. Da er wie gesagt bei mir war und nicht an seinem Rechner, schlug mein Mitbewohner Jonas, also der Herr Lanvers, vor, er k?nne doch seine e-Mails auf zeus mit dem Mailprogramm pine bzw. mutt abrufen. Da es inzwischen schon 2 Biere waren, vertippte sich der Jan, also der Herr Dobritius, bei seinem Passwort. So kam es nun dass das “su dobritiu” fehlschlug. Dadurch entstand nun auch Fall 4.

Fall 4 (su dobritiu) extends Fall 3:

Nach einer kleinen Konzentrationspause schaffte es der Jan, also der Herr Dobritius, sein schon eben falsch eingegebenes Passwort nun richtig einzugeben. Aber als wir es nun endlich geschafft haben uns anzumelden, fiel uns ein, das ja das e-Mail Programm pine bzw. mutt nicht so komfortabel wie das Web-Mail Interface der FH sind. So entschlossen wir uns nun, trotz der bisherigen Fortschritte des Projektes pine bzw mutt auf zeus einzurichten, das Web-Mail Interface zu nutzen.

Falls es noch offene Fragen gibt, stehe ich ihnen gerne weiterhin per e-Mail zur Verf?gung.

Allerdings habe ich noch eine Frage am Ende dieser e-Mail: Bekomme ich jetzt bei jedem “su <user>” eine e-Mail von

Ihnen? Das w?re ja als wen ich mich jedes Mal wenn ich mich verw?hlt habe, bei meinem Telefonprovider (Vodafone,

Deutsche Telekom) rechtfertigen muss.

Zudem w?re es auch eine Frage der Privatsph?re, inwiefern Sie Daten von mir aufzeichnen und speichern. Hierbei bitte ich um Aufkl?rung meiner gesamten aufgezeichneten Daten. Andernfalls sehe ich mich veranlasst, den Datenschutzbeauftragten zu kontaktieren.

Wie ich h?rte, ist das ja nicht der erste Fall, bei dem Sie das Verhalten anderer studieren. Aber wie gesagt, das habe ich ja

nur geh?rt.

Mit freundlichen Gr??en,

Henry Richter

——

Der Jan hat ihm nat?rlich auch darauf geantwortet:

Sehr geehrter Herr Sch?fer

Ja, und?

Mit freundlichen Gr??en

Jan Dobritius

—–

Wenn man sich jetzt noch nicht verarscht f?hlt, ist selber schuld… und er hat sich nicht verarscht gef?hlt… Er nahm das total ernst und ich bekam eine wunderbare Mail zur?ck.

Hallo Herr Richter,
Am Dienstag, den 12.12.2006, 14:50 +0100 schrieb Henry Richter:

[Erklaerungen]

Vielen Dank fuer diese Erlaeuterungen.

> Allerdings habe ich noch eine Frage am Ende dieser e-Mail: Bekomme ich
> jetzt bei jedem "su <user>" eine e-Mail von
> Ihnen?

Nein. Es koennte durchaus sein, dass irgendwann das Mass voll ist und
gemaess ?7 in Verbindung mit ?4 Abs. (3) der Benutzerordnung der FHB der
Account zeitweise oder endgueltig gesperrt wird.

Bei su root (bis zu 2 Versuche) wird es hier auch keine Mails geben, da
dem Abschein nach ein Irrtum ueber den gerade aktuellen Rechner gegeben
ist. Eine Haeufung solcher Vorfaelle muss das Misstrauen eines jeden
Administrators wecken.

> Das w?re ja als wen ich mich jedes Mal wenn ich mich verw?hlt
> habe, bei meinem Telefonprovider (Vodafone,
> Deutsche Telekom) rechtfertigen muss.

Nein, der Vergleich hinkt. Einen fremder Telefonanschluss anrufen ist
(meist) keine Straftat. Eine fremde Identitaet anzunehmen schon.

Auf dem Computersystem "zeus" sind personenbezogene Daten von einen
Vielzahl von Benutzern gespeichert. Versuche, eine Identitaet eines
anderen Benutzers oder gar von root anzunehmen, koennten sogar als
Versuch einer Straftat nach ? 202 StGB gewertet werden.

Auf jeden Fall ist eine unberechtigte Nutzung einer fremden
Benutzerkennung ein Verstoss gegen die Benutzerordnung der
Fachhochschule Brandenburg.

Wenn dieses im Einverstaendnis mit dem betreffenden Kennungsinhaber
geschieht, machen sich beide beteiligten Nutzer einer Verletzung der
Benutzerordnung schuldig.

> Zudem w?re es auch eine Frage der Privatsph?re, inwiefern Sie Daten von
> mir aufzeichnen und speichern. Hierbei bitte ich um Aufkl?rung
> meiner gesamten aufgezeichneten Daten.

Die Systembetreiber in der Fachhochschule Brandenburg speichern
Nutzungsdaten nach den Grundsaetzen des Datenschutzgesetzes in dem
Umfang, wie dies fuer den ordnungsgemaessen Betrieb der Infrastruktur
notwendig ist. Dazu gehoert es insbesondere, auch fuer Faelle von
Identitaetsmissbrauch und andere Verstoesse gegen die Benutzerordnung
oder Gesetze entsprechende Protokolldateien zu fuehren, um diese
Verstoesse nachweisen zu koennen.

Genauere Erlaeuterungen dazu finden sich unter anderem in diesem
Dokument:
http://www.lda.brandenburg.de/sixcms/detail.php?id=87042&template=allgemein_lda  
Die Protokolldaten werden in der Regel nach 7 Tagen geloescht. Sollten
wir als Betreiber von Verstoessen Kenntnis erlangen, werden die
betreffenden Protokolldaten bis zum Abschluss des Verfahrens aufbewahrt.

> Wie ich h?rte, ist das ja nicht der erste Fall, bei dem Sie das
> Verhalten anderer studieren.

Es ist durchaus richtig, dass ich auch bei anderen Nutzern nachgefragt
habe, was diese Vorkommnisse zu bedeuten haben. So lange mir beide
beteiligten Nutzer eine plausible Erklaerung geben koennen, wird von
Seiten der Administration auch eher keine Massnahme nach ?7 der
Benutzerordnung vorgenommen, ich denke das ist im Sinne der Nutzer.

Sehen Sie es einmal so: Sie wuerden es doch auch wollen, dass ich Sie
informiere, wenn ein Nutzer "mueller" oder "meier" oder "schulze"
erfolgreich ein "su richterh" auf zeus durchgefuehrt hat.

Sollten Sie noch weitere Fragen haben, koennen Sie sich auch gern
persoenlich in Raum 209 InfZ bei mir oder dem Kollegen Zeltner melden.

freundliche Gruesse,
Ingo Schaefer

PS: Wenn der Kollege mal wieder dringend "eine shell auf zeus" braucht,
geht auch ssh dobritiu@zeus - obwohl man aus Sicherheitsgruenden immer
davor warnen muss, solche Befehle in ungesicherten Umgebungen
auszufuehren. Und die Shell eines anderen Benutzers ist per se unsicher
(siehe $PATH, $LD_LIBRARY_PATH, $LD_PRELOAD).
----

Gut gut, jetzt weis ich ja bescheid… Aber wie war das mit dem Alkohol und der Vergesslichkeit?

Man kann ja das ganze einfach nochmal ausprobieren :D Aber diesmal von einem anderen Account ein

su auf mich machen :D So bekam ich wieder eine Mail:

Hallo Herr Richter,
Hallo Herr Lachmann,

ich bitte Sie, noch im Laufe des heutigen Donnerstags (bis 16 Uhr) in
Raum 209 Informatikgebaeude vorstellig zu werden, um mit mir ueber die
Nutzung der FH-Infrastruktur zu reden.

Andernfalls werde ich zu diesem Zeitpunkt oder etwas spaeter beide
Accounts sperren.

Sie koennen mich natuerlich auch gern per E-Mail oder Telefon:
03381/355-xxx kontaktieren.
Mein Kollege Herr Zeltner ist unter 355-xxx ebenfalls fuer Sie
erreichbar.

freundliche Gruesse,
Ingo Schaefer
---

Uih jetzt hab ich es geschafft, er will mich pers?nlich kennen lernen. Aber da ich bis um 4 Zeit habe,

lass ich mir nat?rlich auch bis kurz vor 4 Zeit. Er hat mir sogar noch um halb 4 eine Erinnerungsmail geschickt. Ist das nicht nett von Ihm? Dumm war nur das er schon weg war als ich ankam… (da in seiner Antwortmail meine mit drinn steht als Zitat, kopier ich nur die eine hier her)

Sehr geehrter Herr Richter,
Henry Richter schrieb:

> Sehr geehrter Herr Sch?fer,
>
> ich war mit Herrn Lachmann bei Ihnen gewesen. Zu diesem Zeitpunkt war es
> ca. 15:50. Leider konnte ich Sie dort nicht mehr antreffen. Herr
> Bocklisch, der sich zu diesem Zeitpunkt auf diesem Flur befand,
> berichtete mir, dass Sie gerade gegangen seien.

Ich werde nicht um Minuten streiten, aber es war sicher nach 15:55 *g* 
Mein Kollege Herr Zeltner war zu diesem Zeitpunkt aber noch zugegen und haette 
Ihnen den Sachverhalt mindestens genau so gut erklaeren koennen wir ich.  
> Ich bitte deswegen um einen neuen Termin bei Ihnen.

Wann (Uhrzeit) passt es Ihnen denn am Dienstag der naechsten Woche?

Ich bin an diesem Tag voraussichtlich zwischen 07:00 und 18:00 Uhr in
der Hochschule. Allerdings bitte ich um einen moeglichst genauen
Terminvorschlag, damit ich meinen Tag besser planen kann.

freundliche Gruesse,
Ingo Schaefer

-----

Nun freu ich mich auf ein Gespr?ch mit ihm. Mal gucken wie ich Zeit finde. Aber ich glaube zwischen 7:00 und 18:00 passt mir ganz gut ;)

to be continued…..

[Update]

Nach dem ich es nun geschafft habe, den Herrn Ingo Sch?fer aufzusuchen, hatte ich eine sehr lustige Unterhaltung mit ihm.

Ingo: “Das mit dem su haben sie doch nur gemacht um mich zu ?rgern oder?

Ich: *grinsend* “Och, das lass ich jetzt mal so im Raum stehen.

Danach hat er mir die Vor- und Nachteile von su erkl?rt und was f?r alternativen es gibt, das gleiche zu machen ohne das man eine e-Mail von ihm bekommt. Also an sich eine sehr langweilige Unterhaltung aber hauptsache der Admin durfte seine Macht mal zum Vorschein kommen lassen ;)

3 Comments so far

  1. Ingo Schaefer on Mai 7th, 2007

    Nette Geschichte.

    Zumindest sind die Tatsachen nicht extrem verdreht dargestellt worden.

  2. rante (El Pr?si im Exil) on Mai 9th, 2007

    Finde ich auch! Ich finde sogar die sind 100%ig richtig dargestellt worden.
    Let’s swing together and sing the paranoia-song…lalala

  3. Marte on Dezember 15th, 2008

    oh man leute,

    ich muss aber auch sagen, das ich schon mal ins RZ musste zu meiner Studienzeit. Damals war ich mentor für die neuen und diese sollten sich anmelden um einen account zubekommen. das problem war ohne account war anmelden quasi nicht möglich. also hab ich mich angemeldet und dann mit den einzelnen leuten ein anmeldeformular ausgefüllt, auf den jeweiligen namen des neuen studenten. also ein entgegenkommen von mir und vor allem viel arbeit.

    naja jedenfalls, gab es keine abfrage von wegen if login != absender antragsformular then throw error oder weiss ich was.

    jedenfalls musste ich ins RZ unter Androhung auf exmatrikulation und gespräch beim damaligen dekan. Die Datenbank mit den Login und users war durch die aktion mehrmals überschrieben worden.

    vorwurf des “hackens” wurde laut und ich musste nur lachen und den leuten mitteilen das es gut sei, Fehler intern zu finden und nicht warten bis externe leute mit böser absicht diese “undichte” Stelle ausnutzen.

    naja freundlichkeit wird bestraft, nach diesem vorfall hab ich keine Zeit mehr als Mentor verschwenden, denn gedankt wird es einen mit Vorladung und exmatrikulationsandrohung.

    Grüsse Marte

Leave a Reply