From: "Anton V. Denisov" <fire@kgpu.kamchatka.ru>
To: <devel@altlinux.ru>
Subject: [devel] Q: hiding security sensitive info
Date: Thu, 4 Dec 2003 15:26:39 -0000
Message-ID: <000501c3ba7b$03cbaf90$030ba8c0@kgpi> (raw)
Приветствую всех.
Прошу прощения за отступление от тематики данного списка рассылки, но
altlinux-security@ у нас пока нет.
Возник у меня следующий вопрос: как непривилегированный пользователь
может получить список пользователей, вошедших в систему? Предполагается,
что доступа к /usr/bin/{w,who} у пользователя нет. Также он не может
скомпилировать и выполнить на хосте свою программу, но может загрузить
её на хост уже в скомпилированном виде. Это подразумевает, что у
пользователя есть доступ на запись к некоторым каталогам, которые
находятся на разделе, смонтированном с параметром 'exec'.
Прочитал ещё раз вопрос и понял - в этом случае ничто не помешает
загрузить на хост и запустить статически слинкованный бинарник who. Но
это значительно усложнит жизнь злоумышленнику. Особенно если доступа к
средствам загрузки тоже нет.
Данный вопрос можно распространить на информацию, выдаваемую следующими
утилитами: dmesg, mount, netstat, ps, uname, df, free, last, lastlog,
id, groups, pstree, quota, fdisk, chkconfig, lsmod, ifconfig, ip, route
и многими других.
С помощью этих и других утилит пользователь может получить довольно
много информации о системе, поэтому я бы для себя поставил их на
control(8), но в этом не будет смысла, если пользователь сможет получить
эту информацию другими путями - про это и был мой первоначальный вопрос.
Openwall Linux Kernel Patch несколько улучшает ситуацию, защищая /proc,
но этого явно недостаточно.
Помню нашёл на одном web сервер дырявый cgi скрипт, который позволял
выполнять системные команды. Выполнил id, чтобы узнать что, я nobody (это
и предполагалось), потом who, а потом отослал /etc/passwd админу сервера
(я его знал :-)). Так вот хочется защититься от подобных вещей. Если бы
у пользователя nobody изначально не было прав запускать что-либо из
$PATH, то мне бы пришлось гораздо труднее в данном случае.
Конечно, когда пользователи имеют удалённый доступ и полноценный shell,
то такую защиту применить труднее. Но меня больше интересует случай
использования аккаунта непривилегированного пользователя, полученного
через удалённую уязвимость или как в случае описанном выше.
P.S. Очень буду благодарен за ответ на это письмо или направление - куда
читать.. Наверное я параноик :-][
P.P.S. Что лучше почитать про систему kernel capabilities?
--
With best regards, Anton V. Denisov.
In silent deep without hope.
'-- MARK --' is my favourite log-entry.
next reply other threads:[~2003-12-04 15:26 UTC|newest]
Thread overview: 21+ messages / expand[flat|nested] mbox.gz Atom feed top
2003-12-04 15:26 Anton V. Denisov [this message]
2003-12-04 5:54 ` Denis Ovsienko
2003-12-05 0:39 ` Anton V. Denisov
2003-12-04 7:12 ` [devel] " Anton V. Boyarshinov
2003-12-04 10:10 ` Alexey Tourbin
2003-12-05 0:08 ` Anton V. Denisov
2003-12-05 8:36 ` Anton V. Boyarshinov
2003-12-05 10:16 ` Dmitry V. Levin
2003-12-13 19:19 ` Sergey Vlasov
2003-12-14 14:58 ` Anton Farygin
2003-12-15 9:00 ` Michael Shigorin
2003-12-15 9:28 ` Anton Farygin
2003-12-15 10:29 ` Michael Shigorin
2003-12-16 9:54 ` Vadim Gorodisky
2003-12-15 13:25 ` Dmitry V. Levin
2004-01-03 0:10 ` Dmitry V. Levin
2004-01-03 0:52 ` Anton V. Denisov
2004-01-03 13:18 ` Dmitry V. Levin
2004-02-24 0:13 ` Dmitry V. Levin
2004-02-24 9:27 ` Anton V. Denisov
2004-02-24 10:56 ` Anton V. Denisov
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to='000501c3ba7b$03cbaf90$030ba8c0@kgpi' \
--to=fire@kgpu.kamchatka.ru \
--cc=devel@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git