[Comm] ?: strict permissions on dirs & so on

[Comm] ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

AFAIR, есть в сузе такая замечательная вещь - файлики с правами на все в системе каталоги в различных
уровнях параноидальности. А у alt master есть такое?

-- 
Bye.Olli.			http://olli.digger.org.ru

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 248 bytes --]

On Wed, Aug 27, 2003 at 10:29:08AM +0400, Oleg K. Artemjev wrote:
> AFAIR, есть в сузе такая замечательная вещь - файлики с правами на все
> в системе каталоги в различных уровнях параноидальности. А у alt
> master есть такое?

Надеюсь что нет. :)

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

On Wed, 27 Aug 2003 12:51:44 +0400
Alexey Tourbin <at@altlinux.ru> wrote:

> On Wed, Aug 27, 2003 at 10:29:08AM +0400, Oleg K. Artemjev wrote:
> > AFAIR, есть в сузе такая замечательная вещь - файлики с правами на все
> > в системе каталоги в различных уровнях параноидальности. А у alt
> > master есть такое?
> Надеюсь что нет. :)
Какие-то у Вас неправильные пожелания. =) Вот были бы файлики с соответствующими
правами, можно было бы взять самый параноидальный, доработать и применить. А так
надо куда-то тащиться, искать, адаптировать.. фи мое по этому поводу. ;-)

-- 
Bye.Olli.			http://olli.digger.org.ru

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1233 bytes --]

On Wed, Aug 27, 2003 at 01:11:37PM +0400, Oleg K. Artemjev wrote:
> Какие-то у Вас неправильные пожелания. =) Вот были бы файлики с соответствующими
> правами, можно было бы взять самый параноидальный, доработать и применить. А так
> надо куда-то тащиться, искать, адаптировать.. фи мое по этому поводу. ;-)

Дело в том, что security и параноидальность -- это разные, в общем-то,
вещи.  Параноидальность -- это вообще явление психического характера.
Но почему-то считается, что хорошие администраторы должны страдать этим
заболеванием. :)

А security -- вещь очень многомерная, и права доступа к каталогам -- это
только одно измерение.  Права доступа к каталогам нельзя ограничивать до
бесконечности и при этом повышать security.  После определенного уровня
в системе сможет работать только root, а это уже не секьюрно.  Грубо
говоря, права доступа к объектам ФС нужны как раз для того, чтобы
добавить градации в черно-белую схема разграничения доступа и сделать
возможным более гибкий подход.

Я думаю, что файлик с правами доступа к объектам ФС противоречит идее
использования RPM пакетов, в которых эти права доступа жестко прошиты.
Но критические с точки зрения security объекты ФС тем не менее находятся
у нас под control(8)ом.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

On Wed, 27 Aug 2003 13:23:26 +0400
Alexey Tourbin <at@altlinux.ru> wrote:

> On Wed, Aug 27, 2003 at 01:11:37PM +0400, Oleg K. Artemjev wrote:
> > Какие-то у Вас неправильные пожелания. =) Вот были бы файлики с соответствующими
> > правами, можно было бы взять самый параноидальный, доработать и применить. А так
> > надо куда-то тащиться, искать, адаптировать.. фи мое по этому поводу. ;-)
> Дело в том, что security и параноидальность -- это разные, в общем-то,
> вещи.  Параноидальность -- это вообще явление психического характера.
> Но почему-то считается, что хорошие администраторы должны страдать этим
> заболеванием. :)
если администратор не является хоть немного параноиком, то обеспечивать безопасность ему
будет в тягость. В противном же случае - будет нравится. =) Вот собственно почему так 
считается - когда работа в радость ее делают лучше, это медицинский факт. =)

> А security -- вещь очень многомерная, и права доступа к каталогам -- это
> только одно измерение.  Права доступа к каталогам нельзя ограничивать до
> бесконечности и при этом повышать security.  После определенного уровня
> в системе сможет работать только root, а это уже не секьюрно.  Грубо
> говоря, права доступа к объектам ФС нужны как раз для того, чтобы
> добавить градации в черно-белую схема разграничения доступа и сделать
> возможным более гибкий подход.
а кто спорит. =)

> Я думаю, что файлик с правами доступа к объектам ФС противоречит идее
> использования RPM пакетов, в которых эти права доступа жестко прошиты.
я не знаю как это в сузе завязано с rpm'ами, да и противоречие кажущееся.
Вам хватает одних ограничений, мне - других. Поскольку по большей части
ограничения можно поделить минимум на 3 типа - ничего, средне, максимум, 
то не удивительно, что в сузе сделали такие файлики. Соответственно имеется
и утилита для их применения. В результате любой может взять за основу один из
этих вариантов и адаптировать под себя.  Так мне на домашней тачке нужно дать доступ
только 3м-4м людям, причем с разным уровнем доступа. Будь у меня такой файлик и утилита
для его применения мне было бы проще сделать вышеуказанную работу. Соответственно
раз этого нет - придется делать самому, поскольку адаптировать от другого дистрибутива
 - та еще морока.

> Но критические с точки зрения security объекты ФС тем не менее находятся
> у нас под control(8)ом.
[olli@ws002 olli]$ man 8 control
No entry for control in section 8 of the manual
[olli@ws002 olli]$ 

;-)


-- 
Bye.Olli.			http://olli.digger.org.ru

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Andrey Rahmatullin]

Здравствуйте, Oleg K.Artemjev.
Вы писали:

 
> > Но критические с точки зрения security объекты ФС тем не менее находятся
> > у нас под control(8)ом.
> [olli@ws002 olli]$ man 8 control
> No entry for control in section 8 of the manual
> [olli@ws002 olli]$ 
> 
> ;-)
> 

#apt-get install control

;-P



# control
cdrecord        public          (public restricted)
consolehelper   public          (public wheelonly restricted)
crontab         public          (public restricted)
kppp            public          (public netadmin restricted)
mount           public          (public wheelonly restricted)
passwd          tcb             (traditional tcb restricted)
ping            public          (public netadmin restricted)
readcd          public          (public restricted)
su              wheelonly       (public wheel wheelonly restricted)
sudo            public          (public wheelonly restricted)
tcb_chkpwd      tcb             (traditional tcb restricted)
usernetctl      restricted      (public restricted)
write           public          (public restricted)

;-)

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1294 bytes --]

On Wed, Aug 27, 2003 at 03:15:28PM +0400, Oleg K. Artemjev wrote:
> я не знаю как это в сузе завязано с rpm'ами, да и противоречие кажущееся.
> Вам хватает одних ограничений, мне - других. Поскольку по большей части

Права доступа на "стандартные" каталоги хорошо продуманы и хорошо
известны.  Выигрыш от дополнительных ограничений кажущийся.  

> ограничения можно поделить минимум на 3 типа - ничего, средне, максимум, 
> то не удивительно, что в сузе сделали такие файлики. Соответственно имеется

Здесь максимум ограничений не соответствует максимум security (если
что-то ограничить, придется давать больше привилегий некоторым
пользователям/процессам; а привилегии можно использовать не по
назначению).  Задача прав доступа на стандартные каталоги -- именно
зафиксировать ограничения в "среднем" положении, чтобы сделать возможным
эффективное использование других механизмов.

> этих вариантов и адаптировать под себя.  Так мне на домашней тачке нужно дать доступ
> только 3м-4м людям, причем с разным уровнем доступа. Будь у меня такой файлик и утилита

Какие уровни доступа вы хотите сделать?

> для его применения мне было бы проще сделать вышеуказанную работу. Соответственно
> раз этого нет - придется делать самому, поскольку адаптировать от другого дистрибутива
>  - та еще морока.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

On Wed, 27 Aug 2003 19:46:24 +0400
Alexey Tourbin <at@altlinux.ru> wrote:

> On Wed, Aug 27, 2003 at 03:15:28PM +0400, Oleg K. Artemjev wrote:
> > я не знаю как это в сузе завязано с rpm'ами, да и противоречие кажущееся.
> > Вам хватает одних ограничений, мне - других. Поскольку по большей части
> Права доступа на "стандартные" каталоги хорошо продуманы и хорошо
> известны.  Выигрыш от дополнительных ограничений кажущийся.  
возможно кажущийся, а возможно и есть. ;)
 
> > ограничения можно поделить минимум на 3 типа - ничего, средне, максимум, 
> > то не удивительно, что в сузе сделали такие файлики. Соответственно имеется
> Здесь максимум ограничений не соответствует максимум security (если
> что-то ограничить, придется давать больше привилегий некоторым
> пользователям/процессам; а привилегии можно использовать не по
> назначению).  Задача прав доступа на стандартные каталоги -- именно
> зафиксировать ограничения в "среднем" положении, чтобы сделать возможным
> эффективное использование других механизмов.
вот вам пример:
[olli@ws002 olli]$ ls -ld /etc/sysconfig/network-scripts  
drwxr-xr-x    2 root     root         1024 Июл 31 16:24 /etc/sysconfig/network-scripts
[olli@ws002 olli]$ 
Ничего страшного в общем-то. Но мне бы больше понравилось 750 на root.wheel. Чем меньше отдаешь информации
о настройках - тем лучше..

> > этих вариантов и адаптировать под себя.  Так мне на домашней тачке нужно дать доступ
> > только 3м-4м людям, причем с разным уровнем доступа. Будь у меня такой файлик и утилита
> Какие уровни доступа вы хотите сделать?
Это не существенно. Ж:) Честно говоря просто влом писать много. Я могу это все руками сделать. Я к тому, что
если бы у меня был файлик а-ля сузе, то я бы его отредактировал, скормил бы утилите и все права встали бы
так как мне нравится. А в данном случае мне либо придется рисовать этот скрипт самостоятельно, либо ходить
ручками по каталогам.

> > для его применения мне было бы проще сделать вышеуказанную работу. Соответственно
> > раз этого нет - придется делать самому, поскольку адаптировать от другого дистрибутива
> >  - та еще морока.

-- 
Bye.Olli.			http://olli.digger.org.ru

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 766 bytes --]

On Fri, Aug 29, 2003 at 04:28:34PM +0400, Oleg K. Artemjev wrote:
> [olli@ws002 olli]$ ls -ld /etc/sysconfig/network-scripts  
> drwxr-xr-x    2 root     root         1024 Июл 31 16:24 /etc/sysconfig/network-scripts
> [olli@ws002 olli]$ 
> Ничего страшного в общем-то. Но мне бы больше понравилось 750 на root.wheel. Чем меньше отдаешь информации
> о настройках - тем лучше..

Увы, эту информацию о настройках можно получить гораздо проще:
$ ifconfig

:)

Так что вместе с /etc/sysconfig/network-scripts нужно менять права
доступа на ifconfig.  Но увеличение security опять мнимое, т.к. можно
написать свою программу (или ещё раз скомпилировать ifconfig), которая
получает ту же самую информацию из ядра.  А ограничений доступа к этой
информации на уровне ядра нет.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: ?: strict permissions on dirs & so on

[Sergey Vlasov]

On Fri, 29 Aug 2003 16:45:25 +0400
Alexey Tourbin <at@altlinux.ru> wrote:

> On Fri, Aug 29, 2003 at 04:28:34PM +0400, Oleg K. Artemjev wrote:
> > [olli@ws002 olli]$ ls -ld /etc/sysconfig/network-scripts  
> > drwxr-xr-x    2 root     root         1024 Июл 31 16:24 /etc/sysconfig/network-scripts
> > [olli@ws002 olli]$ 
> > Ничего страшного в общем-то. Но мне бы больше понравилось 750 на root.wheel. Чем меньше отдаешь информации
> > о настройках - тем лучше..
> 
> Увы, эту информацию о настройках можно получить гораздо проще:
> $ ifconfig
> 
> :)
> 
> Так что вместе с /etc/sysconfig/network-scripts нужно менять права
> доступа на ifconfig.  Но увеличение security опять мнимое, т.к. можно
> написать свою программу (или ещё раз скомпилировать ifconfig), которая
> получает ту же самую информацию из ядра.  А ограничений доступа к этой
> информации на уровне ядра нет.

Есть - в патче Openwall (CONFIG_HARDEN_PROC). Заодно и ps затыкает
(показывает только процессы этого пользователя).

$ /sbin/ifconfig 
/proc/net/dev: Permission denied

Хотя, возможно, в результате этого что-то ломается.

[Comm] Re: ?: strict permissions on dirs & so on

[Michael Shigorin]

On Fri, Aug 29, 2003 at 04:28:34PM +0400, Oleg K.Artemjev wrote:
> [olli@ws002 olli]$ ls -ld /etc/sysconfig/network-scripts  
> drwxr-xr-x    2 root     root         1024 Июл 31 16:24 /etc/sysconfig/network-scripts
> [olli@ws002 olli]$ 
> Ничего страшного в общем-то. Но мне бы больше понравилось 750
> на root.wheel. Чем меньше отдаешь информации о настройках - тем
> лучше..

/etc/control.d/facilities
можно и свои создавать

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

On Fri, 29 Aug 2003 16:45:25 +0400
Alexey Tourbin <at@altlinux.ru> wrote:

> On Fri, Aug 29, 2003 at 04:28:34PM +0400, Oleg K. Artemjev wrote:
> > [olli@ws002 olli]$ ls -ld /etc/sysconfig/network-scripts  
> > drwxr-xr-x    2 root     root         1024 Июл 31 16:24 /etc/sysconfig/network-scripts
> > [olli@ws002 olli]$ 
> > Ничего страшного в общем-то. Но мне бы больше понравилось 750 на root.wheel. Чем меньше отдаешь информации
> > о настройках - тем лучше..
> Увы, эту информацию о настройках можно получить гораздо проще:
> $ ifconfig
> :)
разумеется на него ставится 750. :)
 
> Так что вместе с /etc/sysconfig/network-scripts нужно менять права
> доступа на ifconfig.  Но увеличение security опять мнимое, т.к. можно
> написать свою программу (или ещё раз скомпилировать ifconfig), которая
это если Вам дадут что-то компилировать. =) На gcc и прочее тоже можно 
не дать прав. С учетом того, что они никому кроме меня не доллжны быть 
нужны - так и надо поступить. =) Короче говоря как ни крути - удобнее
было бы отбирать права если бы была утиль с файликами, как в сузе.

> получает ту же самую информацию из ядра.  А ограничений доступа к этой
> информации на уровне ядра нет.
Ай-яй-яй - какое упущение - надо срочно исправить. ;-)))

-- 
Bye.Olli.			http://olli.digger.org.ru

[Comm] Re: ?: strict permissions on dirs & so on

[Michael Shigorin]

On Fri, Aug 29, 2003 at 05:01:24PM +0400, Oleg K.Artemjev wrote:
> это если Вам дадут что-то компилировать. =) На gcc и прочее
> тоже можно не дать прав.

Скорее тогда не должно быть "gcc и прочего".  Как класса.

> Короче говоря как ни крути - удобнее было бы отбирать права
> если бы была утиль с файликами, как в сузе.

control(8)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1276 bytes --]

On Fri, Aug 29, 2003 at 05:01:24PM +0400, Oleg K. Artemjev wrote:
> это если Вам дадут что-то компилировать. =) На gcc и прочее тоже можно 
> не дать прав. С учетом того, что они никому кроме меня не доллжны быть 

gcc можно достать из другого места и положить в ~/bin.

Чтобы этим нельзя было воспользоваться, нужно монтировать /home с noexec.
Но это значит, что вообще будет нельзя запускать свои бинари.  То есть
отпадает смысл вообще пользоваться базовыми средствами разработки.
Значит gcc в такой системе вообще быть не должно.

> нужны - так и надо поступить. =) Короче говоря как ни крути - удобнее
> было бы отбирать права если бы была утиль с файликами, как в сузе.

Нетнетнетнетнетнетнет... :)

Специальные требования к ограничениям в системе не распадаются на
"ничего", "средне" и "максимум".  Такой подход имеет только
конъюнктурные преимущества.  В сущности, как видно из вывода control(8)
на моей машине, имеет место комбинаторный рост вариантов настройки
системы.

Кроме того, как я уже пытался сказать, чаще всего ограничения прав
доступа на стандартные объекты ФС не увеличивают security по существу,
а могут лишь _немного_ усложнить задачу взлома.  Исключения составляют
suid/sgid executables.

> Ай-яй-яй - какое упущение - надо срочно исправить. ;-)))

:)

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

On Fri, 29 Aug 2003 16:28:32 +0300
Michael Shigorin <mike@osdn.org.ua> wrote:

> On Fri, Aug 29, 2003 at 05:01:24PM +0400, Oleg K.Artemjev wrote:
> > это если Вам дадут что-то компилировать. =) На gcc и прочее
> > тоже можно не дать прав.
> Скорее тогда не должно быть "gcc и прочего".  Как класса.
К сожалению на домашней машине не получиться - не хочется ходить в лишенцах. =)


> > Короче говоря как ни крути - удобнее было бы отбирать права
> > если бы была утиль с файликами, как в сузе.
> control(8)
уже понял, посмотрю..

-- 
Bye.Olli.			http://olli.digger.org.ru

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

On Fri, 29 Aug 2003 16:53:40 +0400
Sergey Vlasov <vsu@altlinux.ru> wrote:
> > Так что вместе с /etc/sysconfig/network-scripts нужно менять права
> > доступа на ifconfig.  Но увеличение security опять мнимое, т.к. можно
> > написать свою программу (или ещё раз скомпилировать ifconfig), которая
> > получает ту же самую информацию из ядра.  А ограничений доступа к этой
> > информации на уровне ядра нет.
> Есть - в патче Openwall (CONFIG_HARDEN_PROC). Заодно и ps затыкает
> (показывает только процессы этого пользователя).
> $ /sbin/ifconfig 
> /proc/net/dev: Permission denied
> Хотя, возможно, в результате этого что-то ломается.
Ломается только ненастроенное, то есть можно дать группе и процессы и /proc.

-- 
Bye.Olli.			http://olli.digger.org.ru

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

On Fri, 29 Aug 2003 18:02:12 +0400
Alexey Tourbin <at@altlinux.ru> wrote:

> On Fri, Aug 29, 2003 at 05:01:24PM +0400, Oleg K. Artemjev wrote:
> > это если Вам дадут что-то компилировать. =) На gcc и прочее тоже можно 
> > не дать прав. С учетом того, что они никому кроме меня не доллжны быть 
> gcc можно достать из другого места и положить в ~/bin.
а квоты хватит? ;)
 
> Чтобы этим нельзя было воспользоваться, нужно монтировать /home с noexec.
> Но это значит, что вообще будет нельзя запускать свои бинари.  То есть
> отпадает смысл вообще пользоваться базовыми средствами разработки.
> Значит gcc в такой системе вообще быть не должно.
Гм. Я могу иметь отдельно /home и /home/olli на разных разделах. =) И тем не менее иметь gcc. ;)

> > нужны - так и надо поступить. =) Короче говоря как ни крути - удобнее
> > было бы отбирать права если бы была утиль с файликами, как в сузе.
> Нетнетнетнетнетнетнет... :)
а вот мне бы было удобнее. =) Впрочем man control я еще не поставил, так что
может это оно и есть? ?-)

> Специальные требования к ограничениям в системе не распадаются на
> "ничего", "средне" и "максимум".  Такой подход имеет только
> конъюнктурные преимущества.  В сущности, как видно из вывода control(8)
> на моей машине, имеет место комбинаторный рост вариантов настройки
> системы.
погляжу..

> Кроме того, как я уже пытался сказать, чаще всего ограничения прав
> доступа на стандартные объекты ФС не увеличивают security по существу,
> а могут лишь _немного_ усложнить задачу взлома.  Исключения составляют
курочка по зернышку клюет.. =)

> suid/sgid executables.
плюс еще noexec и ro .

-- 
Bye.Olli.			http://olli.digger.org.ru

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1.1: Type: text/plain, Size: 856 bytes --]

On Fri, Aug 29, 2003 at 06:21:49PM +0400, Oleg K. Artemjev wrote:
> > Специальные требования к ограничениям в системе не распадаются на
> > "ничего", "средне" и "максимум".  Такой подход имеет только
> > конъюнктурные преимущества.  В сущности, как видно из вывода control(8)
> > на моей машине, имеет место комбинаторный рост вариантов настройки
> > системы.
> погляжу..

Посмотрел, он с каталогами тоже умеет работать.  Смотрите как просто:

# chmod +x /etc/control.d/facilities/network-scripts
# control network-scripts
public
# control network-scripts restricted
# ls -dl /etc/sysconfig/network-scripts
drwxr-x---    2 root     wheel        1096 Jul  1 23:14 /etc/sysconfig/network-scripts
# control network-scripts public
# ls -dl /etc/sysconfig/network-scripts
drwxr-xr-x    2 root     root         1096 Jul  1 23:14 /etc/sysconfig/network-scripts
#

[-- Attachment #1.2: network-scripts --]
[-- Type: text/plain, Size: 185 bytes --]

#!/bin/sh

. /etc/control.d/functions

BINARY=/etc/sysconfig/network-scripts

new_fmode public 755 root root
new_fmode restricted 750 root wheel

control_fmode "$BINARY" "$*" || exit 1

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 696 bytes --]

On Fri, Aug 29, 2003 at 06:02:12PM +0400, Alexey Tourbin wrote:
> Чтобы этим нельзя было воспользоваться, нужно монтировать /home с noexec.

Вспомнил. :)  Всё равно можно воспользоваться, если в системе есть
динамический линкер.  Это уже когда-то обсуждалось.

$ cp /bin/date ~/bin
$ chmod 0400 ~/bin/date
$ /lib/ld-linux.so.2 ~/bin/date
Mon Sep  1 18:16:07 MSD 2003
$

Т.е. монтирование разделов noexec тоже принципиально ничего не дает,
если только это не чрут, в котором нет динамического линкера.

> Но это значит, что вообще будет нельзя запускать свои бинари.  То есть
> отпадает смысл вообще пользоваться базовыми средствами разработки.
> Значит gcc в такой системе вообще быть не должно.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Oleg K.Artemjev]

On Mon, 1 Sep 2003 18:19:21 +0400
Alexey Tourbin <at@altlinux.ru> wrote:

> On Fri, Aug 29, 2003 at 06:02:12PM +0400, Alexey Tourbin wrote:
> > Чтобы этим нельзя было воспользоваться, нужно монтировать /home с noexec.
> 
> Вспомнил. :)  Всё равно можно воспользоваться, если в системе есть
> динамический линкер.  Это уже когда-то обсуждалось.
> 
> $ cp /bin/date ~/bin
> $ chmod 0400 ~/bin/date
> $ /lib/ld-linux.so.2 ~/bin/date
> Mon Sep  1 18:16:07 MSD 2003
> $
> 
> Т.е. монтирование разделов noexec тоже принципиально ничего не дает,
> если только это не чрут, в котором нет динамического линкера.
мм.. оно как.. спасибо. 

А что оторвется у простого юзера если отборать права на исполнение
/lib/ld-linux.so.2 ? А если еще и на чтение?

-- 
Bye.Olli.			http://olli.digger.org.ru

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 591 bytes --]

On Tue, Sep 02, 2003 at 01:05:06PM +0400, Oleg K. Artemjev wrote:
> А что оторвется у простого юзера если отборать права на исполнение
> /lib/ld-linux.so.2 ? А если еще и на чтение?

Скорее всего, он не сможет исполнить ни одного бинаря, который слинкован
с динамическими библиотеками.  Т.е. execve(2) в этом случае на некотором
этапе загружает линкер и передает ему управление.  Линкер подгружает
динамические либы, делает все relocations и потом передает управление в
_start, который в свою очередь инициализирует вещи типа stdio и передает
управление в main.  Кажется так это работает...

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 309 bytes --]

On Tue, Sep 02, 2003 at 04:53:43PM +0400, Alexey Tourbin wrote:
> Скорее всего, он не сможет исполнить ни одного бинаря, который слинкован
> с динамическими библиотеками.  Т.е. execve(2) в этом случае на некотором

Вот как это выглядит (в чруте):

# chmod 0 /lib/ld-2.2.6.so
# ls
zsh: permission denied: ls
#

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: ?: strict permissions on dirs & so on

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 253 bytes --]

On Tue, Sep 02, 2003 at 04:59:06PM +0400, Alexey Tourbin wrote:
> # chmod 0 /lib/ld-2.2.6.so
> # ls
> zsh: permission denied: ls
> #

Т.е. execve(2) возвращает управление в zsh, потому что не может
подгрузить линкер, а "permission denied" -- это EPERM.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: ?: strict permissions on dirs & so on

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1212 bytes --]

On Fri, Aug 29, 2003 at 06:42:42PM +0400, Alexey Tourbin wrote:
> On Fri, Aug 29, 2003 at 06:21:49PM +0400, Oleg K. Artemjev wrote:
> > > Специальные требования к ограничениям в системе не распадаются на
> > > "ничего", "средне" и "максимум".  Такой подход имеет только
> > > конъюнктурные преимущества.  В сущности, как видно из вывода control(8)
> > > на моей машине, имеет место комбинаторный рост вариантов настройки
> > > системы.
> > погляжу..
> 
> Посмотрел, он с каталогами тоже умеет работать.  Смотрите как просто:
> 
> # chmod +x /etc/control.d/facilities/network-scripts
> # control network-scripts
> public
> # control network-scripts restricted
> # ls -dl /etc/sysconfig/network-scripts
> drwxr-x---    2 root     wheel        1096 Jul  1 23:14 /etc/sysconfig/network-scripts
> # control network-scripts public
> # ls -dl /etc/sysconfig/network-scripts
> drwxr-xr-x    2 root     root         1096 Jul  1 23:14 /etc/sysconfig/network-scripts
> #

> #!/bin/sh
> 
> . /etc/control.d/functions
> 
> BINARY=/etc/sysconfig/network-scripts

Извините, но какой же это binary? :)

> new_fmode public 755 root root
> new_fmode restricted 750 root wheel
> 
> control_fmode "$BINARY" "$*" || exit 1


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[Comm] Re: ?: strict permissions on dirs & so on

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 373 bytes --]

On Fri, Sep 05, 2003 at 11:39:19PM +0400, Dmitry V. Levin wrote:
> > . /etc/control.d/functions
> > BINARY=/etc/sysconfig/network-scripts
> Извините, но какой же это binary? :)

Ну, всем же ж страшно что-то менять не по примеру :)

> > control_fmode "$BINARY" "$*" || exit 1

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]