From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Authentication-Warning: kgpu.real.kamchatka.ru: avd set sender to fire@kgpu.kamchatka.ru using -f Date: Fri, 5 Dec 2003 12:39:54 +1200 From: "Anton V. Denisov" To: ALT Devel discussion list Subject: Re: [devel] Q: hiding security sensitive info Message-ID: <20031205003954.GA25228@kgpu.kamchatka.ru> References: <000501c3ba7b$03cbaf90$030ba8c0@kgpi> <20031204074830.F1037@elefant.dgtu.donetsk.ua> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <20031204074830.F1037@elefant.dgtu.donetsk.ua> User-Agent: Mutt/1.4.1i X-BeenThere: devel@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: ALT Devel discussion list List-Id: ALT Devel discussion list List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 05 Dec 2003 00:40:19 -0000 Archived-At: List-Archive: List-Post: On Thu, Dec 04, 2003 at 07:54:44AM +0200, Denis Ovsienko wrote: > ssh == scp. Или на худой конец закинуть в терминал hexdump, а на хосте его > сконвертировать со стандартного ввода назад и записать в файл. Или > netcat'ом. Или ещё 1000 способов. Какой терминал или scp? Ситуация - web сервер с дырявым PHP скриптом, который позволяет выполнять системные команды. Но одно большое НО - у пользователя nobody нет доступа к содержимому /bin, /usr/bin, /sbin и так далее. Как в такой ситуации злоумышленник сможет создать файл в хост системе? Я не знаю пока. > Тут нужно блокировать API, который эту информацию предоставляет. Кто-то, > мне помнится, хвастался, что крутил какую-то систему и запретил руту > создавать файлы, а пользователю разрешил поднимать сетевые интерфйесы. Не > RSBAC ли... А вот это right way : -- With best regards, Anton V. Denisov. In silent deep without hope. '-- MARK --' is my favourite log-entry.