* [devel] Q: wireshark и "--enable-setuid-install"
@ 2008-03-09 7:51 Alexey I. Froloff
2008-03-09 13:35 ` Dmitry V. Levin
0 siblings, 1 reply; 5+ messages in thread
From: Alexey I. Froloff @ 2008-03-09 7:51 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 987 bytes --]
Я собираюсь повесить "suid'ность" wireshark на control(8). Пара
слов о том, в чём она заключается.
В прошлой версии аффтары реализовали механизм privilege
separation. Теперь сеть слушает только один процесс dumpcap,
отдавая сырой поток основной программе через пайп. Эта и только
эта программа теперь имеет право запускаться с правами
привелигерованного пользователя.
Таким образом ошибки в диссекторах теперь позволяют выполнять
произвольный код только в окружении запустившего это решето
пользователя (сам wireshark матерно ругается когда его запускают
от root).
Состояния об'екта wireshark_capture (не слишком длинно?) думаю
будут такие:
restricted - root:root 700
netadmin - root:netadmin 4710
public - root:root 711
Собсно, вопрос:
Я не уверен, надо ли позволять ващще всем капчурить сеть
(suid'ный public) и будут ли хоть что-то работать в режиме public
(как тут с tun/tap?). Ну и интересует состояние по умолчанию.
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Q: wireshark и "--enable-setuid-install"
2008-03-09 7:51 [devel] Q: wireshark и "--enable-setuid-install" Alexey I. Froloff
@ 2008-03-09 13:35 ` Dmitry V. Levin
2008-03-09 14:22 ` Alexey I. Froloff
0 siblings, 1 reply; 5+ messages in thread
From: Dmitry V. Levin @ 2008-03-09 13:35 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 584 bytes --]
On Sun, Mar 09, 2008 at 10:51:57AM +0300, Alexey I. Froloff wrote:
> Я собираюсь повесить "suid'ность" wireshark на control(8). Пара
> слов о том, в чём она заключается.
>
> В прошлой версии аффтары реализовали механизм privilege
> separation. Теперь сеть слушает только один процесс dumpcap,
> отдавая сырой поток основной программе через пайп. Эта и только
> эта программа теперь имеет право запускаться с правами
> привелигерованного пользователя.
А этот привилегированный процесс dumpcap имеет смысл запускать отдельно
от других процесов wireshark?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Q: wireshark и "--enable-setuid-install"
2008-03-09 13:35 ` Dmitry V. Levin
@ 2008-03-09 14:22 ` Alexey I. Froloff
2008-03-10 16:22 ` Dmitry V. Levin
0 siblings, 1 reply; 5+ messages in thread
From: Alexey I. Froloff @ 2008-03-09 14:22 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 838 bytes --]
* Dmitry V. Levin <ldv@> [080309 16:39]:
> > В прошлой версии аффтары реализовали механизм privilege
> > separation. Теперь сеть слушает только один процесс dumpcap,
> > отдавая сырой поток основной программе через пайп. Эта и только
> > эта программа теперь имеет право запускаться с правами
> > привелигерованного пользователя.
> А этот привилегированный процесс dumpcap имеет смысл запускать отдельно
> от других процесов wireshark?
В каком смысле? На самом деле dumpcap запускается самими
wireshark и tshark и принимают от него сырой поток данных.
Оно суидное, выставляет капабилити, сбрасывает привилегии, как
раньше сам *shark делал. Помойму не чрутится, но можно
прикрутить.
Дырявость диссекторов это тем не менее не компенсирует.
P.S. Пошёл вписывать номера CVE в %changelog.
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Q: wireshark и "--enable-setuid-install"
2008-03-09 14:22 ` Alexey I. Froloff
@ 2008-03-10 16:22 ` Dmitry V. Levin
2008-03-10 16:57 ` Alexey I. Froloff
0 siblings, 1 reply; 5+ messages in thread
From: Dmitry V. Levin @ 2008-03-10 16:22 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1535 bytes --]
On Sun, Mar 09, 2008 at 05:22:39PM +0300, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [080309 16:39]:
> > > В прошлой версии аффтары реализовали механизм privilege
> > > separation. Теперь сеть слушает только один процесс dumpcap,
> > > отдавая сырой поток основной программе через пайп. Эта и только
> > > эта программа теперь имеет право запускаться с правами
> > > привелигерованного пользователя.
> > А этот привилегированный процесс dumpcap имеет смысл запускать отдельно
> > от других процесов wireshark?
> В каком смысле? На самом деле dumpcap запускается самими
> wireshark и tshark и принимают от него сырой поток данных.
>
> Оно суидное, выставляет капабилити, сбрасывает привилегии, как
> раньше сам *shark делал. Помойму не чрутится, но можно
> прикрутить.
Если привилегированный dumpcap executable имеет смысл запускать только
wireshark'у, то лучше сделать так, чтобы остальные процессы не имели прав
запускать этот привилегированный dumpcap executable.
По аналогии с libutempter, можно завести какую-нибудь группу _dumpcap,
сделать какой-нибудь каталог /usr/libexec/dumpcap c правами доступа
%attr(0750,root,_dumpcap), положить dumpcap executable в этот каталог,
и повесить set-gid _dumpcap на те executables, которые должны иметь право
запускать dumpcap executable. Желательно ещё сделать так, чтобы эти
приложения сбрасывали set-gid _dumpcap.
> Дырявость диссекторов это тем не менее не компенсирует.
Их бы тоже куда-нибудь засунуть, чтобы не высовывались.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Q: wireshark и "--enable-setuid-install"
2008-03-10 16:22 ` Dmitry V. Levin
@ 2008-03-10 16:57 ` Alexey I. Froloff
0 siblings, 0 replies; 5+ messages in thread
From: Alexey I. Froloff @ 2008-03-10 16:57 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 697 bytes --]
* Dmitry V. Levin <ldv@> [080310 19:32]:
> Если привилегированный dumpcap executable имеет смысл запускать только
> wireshark'у, то лучше сделать так, чтобы остальные процессы не имели прав
> запускать этот привилегированный dumpcap executable.
Нет, это обычная утилита, делает примерно то же самое что и
tcpdump с ключами -s0 и -w. Просто у неё есть "секретный" ключ,
который перенаправляет вывод не в файл, а на stdout.
В принципе сделал четыре состояния. "Можно пускать не всем"
(root и @netadmin), "можно пускать всем" и "можно пускать всем,
но толку не будет".
> Их бы тоже куда-нибудь засунуть, чтобы не высовывались.
Их бы писать не на сях...
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2008-03-10 16:57 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-03-09 7:51 [devel] Q: wireshark и "--enable-setuid-install" Alexey I. Froloff
2008-03-09 13:35 ` Dmitry V. Levin
2008-03-09 14:22 ` Alexey I. Froloff
2008-03-10 16:22 ` Dmitry V. Levin
2008-03-10 16:57 ` Alexey I. Froloff
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git