# Sicherheit - Root Prozesse



## lusim (21. März 2012)

Hallo,

habe ISPConfig wie beschrieben Der Perfekte Server" installiert.
HowtoForge Linux Tutorials » Der Perfekte Server - Debian Lenny (Debian 5.0) [ISPConfig 3]

Allerdings laufen sehr viele Prozesse unter root - könnte ihr mir die config sagen wo ich dies einzelnt umstellen kann?



der erste apache-Prozess /usr/sbin/apache2 - k start - Weitere laufen auf www-data oder unter den nutzern als php-cgi
/bin/sh -c .... vlogger
alle instanzen von pure-ftpd
/usr/lib/postfix/master
/usr/sbin/spamd
alle fail2ban
/bin/sh /usr/bin/mysqld_safe Auch der logger
Mehere /usr/sbin/rourierlogger sowie /usr/sbin/couriertcpd
/usr/lib/courier/courier-authlib/authdaemond
/usr/sbin/acpid
/usr/sbin/saslauthd
/usr/sbin/rsyslodg
udevd
Danke euch!


----------



## nowayback (21. März 2012)

Moinsen,

bitte überdenke nochmal was du hier vorhast... 

wie soll z.B. udev ohne root Rechte funktionieren? 

Das ließe sich jetzt auch für andere Dinge die du da geschrieben hast fragen, deshalb -> überdenken

Grüße
nwb


----------



## lusim (21. März 2012)

Da hast du natürlich recht, aber die Kernaussage bleibt die gleiche.
Meines erachtens nach muss ein Apache egal auf welcher ebene kein root haben, genau so wenig wie courier etc, deswegen wäre eine Antwort auf gegebene Punkte sehr nett.

Vielleicht hab ich ja auch ne falsche Denke und ispconfig macht mehr als ich dachte...


----------



## nowayback (21. März 2012)

Wenn du z.B. per Script einen Shell User anlegen können möchtest, dann geht das meines wissens nach nicht ohne root Rechte. Und da ISPConfig das unterstützt bzw. sogar vorraussetzt wüsste ich nicht, wie das ohne gehen soll.

*** Edit ***
Außerdem sollte das auch nur der ISPConfig Prozess sein der unter root läuft. alle anderen unter www-data


----------



## Till (22. März 2012)

Die von Dir genannten Prozesse müssen alle uneter root starten was jedoch nicht bedeutet dass die worker prozesse welche die Daten verarbeiten auch unter root laufen, und das ist auf allen Linux Distributionen so. Da ist nichts ISPConfig spezifisches dabei. Jeder Linux Prozess der einen niedrigen port belegen will oder aber Kindprozesse unter unpriveligierten Usern startet muss als root gestartet werden, sonst kann er sich nicht an den Port binden oder Prozesse unter anderen usern initiieren. Nachdem die Daemons gestart sind spalten Sie einen Prozess ab der nicht als root läuft und die eigentliche Arbeit übernimmt.



> Außerdem sollte das auch nur der ISPConfig Prozess sein der unter root läuft. alle anderen unter www-data


Es läuft kein ispconfig apache Prozess unter root. Das ISPConfig Interface läuft unter www-data wenn mod_php verwendet wird bzw. dem unprivilegierten user ispconfig bei fastcgi. Konfigurationsaufgaben werden nicht durch das ISPConfig Interface somdern das ispconfig Server script durchgeführt welches als 1 minütiger root cronjob läuft.


----------



## lusim (22. März 2012)

Danke sehr für die ausführliche und nette Ausführung.
Somit kann das glaub ich als gelöst abgehackt werden.


----------

