[devel] права 700 на /lib/modules.

[devel] права 700 на /lib/modules.

[Kirill A. Shutemov]

[-- Attachment #1: Type: text/plain, Size: 603 bytes --]

Зачем сабж?

Какую потенциальную проблемму (безопасности?) может решить этот подход?

ИМХО это только ухудшает ситуацию. Допустим, я хочу поэксперементировать с
initrd. Что бы мне вызвать mkinird мне нужно sudo(или подобное), что 
потенциально более опасно. Может всё ж сделаем 755?

-- 
Kirill A. Shutemov				Belarus, Minsk
E-mail:	k.shutemov (AT) sam-solutions.net
JID: kas (AT) altlinux.org
ICQ: 152302675

Свежий гном совместно с молодым питоном пытаются свалить нашего
Сизифа в пропасть.  После очередного тычка^H^H^H^H^Hобновления
посыпались следующие пакеты:
		-- ldv in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Led]

В сообщении от 6 мая 2006 13:40 Kirill A. Shutemov написал(a):
> Зачем сабж?
>
> Какую потенциальную проблемму (безопасности?) может решить этот подход?
>
> ИМХО это только ухудшает ситуацию. Допустим, я хочу поэксперементировать с
> initrd. Что бы мне вызвать mkinird мне нужно sudo(или подобное), что
> потенциально более опасно. Может всё ж сделаем 755?

А на /dev/loop* 666 ставить?


$ man mkinitrd
.....
/dev/loop*
              A block loopback device is used to create the image, which makes
              this  script  useless  on systems without block loopback support
              available.
....

-- 
Led.

Re: [devel] права 700 на /lib/modules.

[Epiphanov Sergei]

В сообщении от Saturday 06 May 2006 14:58 Led написал(a):
> В сообщении от 6 мая 2006 13:40 Kirill A. Shutemov написал(a):> Зачем
> сабж?>> Какую потенциальную проблемму (безопасности?) может решить этот
> подход?>> ИМХО это только ухудшает ситуацию. Допустим, я хочу
> поэксперементировать с> initrd. Что бы мне вызвать mkinird мне нужно
> sudo(или подобное), что> потенциально более опасно. Может всё ж сделаем
> 755? А на /dev/loop* 666 ставить?

Ага! И 777 на /boot.

-- 
С уважением, Епифанов Сергей

Re: [devel] права 700 на /lib/modules.

[Anton Farygin]

Kirill A. Shutemov wrote:
> Зачем сабж?
> 
> Какую потенциальную проблемму (безопасности?) может решить этот подход?
> 
> ИМХО это только ухудшает ситуацию. Допустим, я хочу поэксперементировать с
> initrd. Что бы мне вызвать mkinird мне нужно sudo(или подобное), что 
> потенциально более опасно. Может всё ж сделаем 755?

https://bugzilla.altlinux.org/show_bug.cgi?id=5969

Я только за.

Что скажет vsu ?

давай в новых ядрах будем делать модули 0700 ?

Rgds,
Rider

Re: [devel] права 700 на /lib/modules.

[Michael Shigorin]

On Sat, May 06, 2006 at 01:40:25PM +0300, Kirill A. Shutemov wrote:
> Зачем сабж?  Какую потенциальную проблемму (безопасности?)
> может решить этот подход?

https://bugzilla.altlinux.org/show_bug.cgi?id=5969#c4

> ИМХО это только ухудшает ситуацию. Допустим, я хочу
> поэксперементировать с initrd. Что бы мне вызвать mkinird мне
> нужно sudo(или подобное), что потенциально более опасно. Может
> всё ж сделаем 755?

Если делать, то контролируемым.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] права 700 на /lib/modules.

[Anton D. Kachalov]

On Sat, May 06, 2006 at 02:36:48PM +0300, Michael Shigorin wrote:
> > ИМХО это только ухудшает ситуацию. Допустим, я хочу
> > поэксперементировать с initrd. Что бы мне вызвать mkinird мне
> > нужно sudo(или подобное), что потенциально более опасно. Может
> > всё ж сделаем 755?
> 
> Если делать, то контролируемым.
Ага. Очень весело, когда хэшером развернул чрут, а потом снаружи фиг
доберёшься до /lib/modules или /boot, что иногда сильно достаёт.

--
mouse

Re: [devel] права 700 на /lib/modules.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 800 bytes --]

On Sat, May 06, 2006 at 08:56:36PM +0400, Anton D. Kachalov wrote:
> On Sat, May 06, 2006 at 02:36:48PM +0300, Michael Shigorin wrote:
> > > ИМХО это только ухудшает ситуацию. Допустим, я хочу
> > > поэксперементировать с initrd. Что бы мне вызвать mkinird мне
> > > нужно sudo(или подобное), что потенциально более опасно. Может
> > > всё ж сделаем 755?
> > 
> > Если делать, то контролируемым.
> Ага. Очень весело, когда хэшером развернул чрут, а потом снаружи фиг
> доберёшься до /lib/modules или /boot, что иногда сильно достаёт.

Это мелочи.  Имеет место быть неразрешимая на вид проблема, которую
в очередной раз поставили в этом треде: выдача пользователям доступа
на чтение к модулям ядра одновременно даёт этим пользователям возможность
DoS'ить insmod/modprobe.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Kirill A. Shutemov]

[-- Attachment #1: Type: text/plain, Size: 1106 bytes --]

On 21:01 Sat 06 May, Dmitry V. Levin wrote:
> On Sat, May 06, 2006 at 08:56:36PM +0400, Anton D. Kachalov wrote:
> > On Sat, May 06, 2006 at 02:36:48PM +0300, Michael Shigorin wrote:
> > > > ИМХО это только ухудшает ситуацию. Допустим, я хочу
> > > > поэксперементировать с initrd. Что бы мне вызвать mkinird мне
> > > > нужно sudo(или подобное), что потенциально более опасно. Может
> > > > всё ж сделаем 755?
> > > 
> > > Если делать, то контролируемым.
> > Ага. Очень весело, когда хэшером развернул чрут, а потом снаружи фиг
> > доберёшься до /lib/modules или /boot, что иногда сильно достаёт.
> 
> Это мелочи.  Имеет место быть неразрешимая на вид проблема, которую
> в очередной раз поставили в этом треде: выдача пользователям доступа
> на чтение к модулям ядра одновременно даёт этим пользователям возможность
> DoS'ить insmod/modprobe.
Может дать это на откуп админу через control?

-- 
Kirill A. Shutemov				Belarus, Minsk
E-mail:	k.shutemov (AT) sam-solutions.net
JID: kas (AT) altlinux.org
ICQ: 152302675

Не в курсе кто сломал, но сейчас починю.
		-- rider in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Michael Shigorin]

On Sat, May 06, 2006 at 09:01:53PM +0400, Dmitry V. Levin wrote:
> Это мелочи.  Имеет место быть неразрешимая на вид проблема,
> которую в очередной раз поставили в этом треде: выдача
> пользователям доступа на чтение к модулям ядра одновременно
> даёт этим пользователям возможность DoS'ить insmod/modprobe.

В теории изобретательства, если склероз неизменяет, такие
противоречия расшиваются или во времени, или дополнительной
степенью свободы (гибкости).

Почему про control(8) и говорил.  Мне тут morozov@ (или raorn@?)
даже готовый facility для /boot присылал.  Повесить?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] права 700 на /lib/modules.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 831 bytes --]

On Sat, May 06, 2006 at 09:01:50PM +0300, Michael Shigorin wrote:
> On Sat, May 06, 2006 at 09:01:53PM +0400, Dmitry V. Levin wrote:
> > Это мелочи.  Имеет место быть неразрешимая на вид проблема,
> > которую в очередной раз поставили в этом треде: выдача
> > пользователям доступа на чтение к модулям ядра одновременно
> > даёт этим пользователям возможность DoS'ить insmod/modprobe.
> 
> В теории изобретательства, если склероз неизменяет, такие
> противоречия расшиваются или во времени, или дополнительной
> степенью свободы (гибкости).
> 
> Почему про control(8) и говорил.  Мне тут morozov@ (или raorn@?)
> даже готовый facility для /boot присылал.  Повесить?

Не надо вешать, давай лучше обсудим.
Как ты себе представляешь процесс обновления пакета filesystem,
в котором находится этот /boot?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 310 bytes --]

* Dmitry V. Levin <ldv@> [060507 00:29]:
> Не надо вешать, давай лучше обсудим.
> Как ты себе представляешь процесс обновления пакета filesystem,
> в котором находится этот /boot?
Дим, ты лучше сразу расскажи почему filesystem не может
Requires(pre): control ;-)  Или может?

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 706 bytes --]

On Sun, May 07, 2006 at 12:38:40AM +0400, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [060507 00:29]:
> > Не надо вешать, давай лучше обсудим.
> > Как ты себе представляешь процесс обновления пакета filesystem,
> > в котором находится этот /boot?
> Дим, ты лучше сразу расскажи почему filesystem не может
> Requires(pre): control ;-)  Или может?

Установка пакета filesystem бывает двух типов:
впервые (в систему, где этого пакета ещё нет) и впоследствии
(т.е. обновление).  При обновлении зависимость на control может быть
удовлетворена.  А чем её удовлетворить в системе, где ещё нет даже пакета
filesystem?  Вообще, как тогда решать задачу установки системы "с нуля"?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Michael Shigorin]

On Sun, May 07, 2006 at 02:13:39AM +0400, Dmitry V. Levin wrote:
> > > Не надо вешать, давай лучше обсудим.  Как ты себе
> > > представляешь процесс обновления пакета filesystem, в
> > > котором находится этот /boot?
> > Дим, ты лучше сразу расскажи почему filesystem не может
> > Requires(pre): control ;-)  Или может?
> Установка пакета filesystem бывает двух типов:
> впервые (в систему, где этого пакета ещё нет) и впоследствии
> (т.е. обновление).  При обновлении зависимость на control может
> быть удовлетворена.  А чем её удовлетворить в системе, где ещё
> нет даже пакета filesystem?

Предлагался объезд в виде filesystem-control.  Опять забыл, с ним
какие-то проблемы или нет?

Тогда у нас получается разнести filesystem на две части, между 
которыми получается поместить всё, что нужно control, и которые
при этом порождаются из одного пакета и таким образом обновляются
(с точностью до транзакции?) синхронно.  Тот же самый приём при 
виде противоречия.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] права 700 на /lib/modules.

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 266 bytes --]

* Michael Shigorin <mike@> [060507 14:22]:
> Предлагался объезд в виде filesystem-control.  Опять забыл, с ним
> какие-то проблемы или нет?
Нет триггера, который бы сработал перед установкой пакета.  Т.е.
control-dump делать негде.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Michael Shigorin]

On Sun, May 07, 2006 at 02:25:06PM +0400, Alexey I. Froloff wrote:
> > Предлагался объезд в виде filesystem-control.  Опять забыл,
> > с ним какие-то проблемы или нет?
> Нет триггера, который бы сработал перед установкой пакета.
> Т.е.  control-dump делать негде.

А чем это отличается от ситуации, когда поддержки control 
в предыдущей версии тоже не было?  Или торможу?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] права 700 на /lib/modules.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 746 bytes --]

On Sun, May 07, 2006 at 03:02:18PM +0300, Michael Shigorin wrote:
> On Sun, May 07, 2006 at 02:25:06PM +0400, Alexey I. Froloff wrote:
> > > Предлагался объезд в виде filesystem-control.  Опять забыл,
> > > с ним какие-то проблемы или нет?
> > Нет триггера, который бы сработал перед установкой пакета.
> > Т.е.  control-dump делать негде.
> 
> А чем это отличается от ситуации, когда поддержки control 
> в предыдущей версии тоже не было?  Или торможу?

Когда пакет не настолько необходимый как filesystem, control-скрипт можно
запаковать в отдельном пакете, см. напр. rpmquery -a \*-control.

Короче говоря, куда не крути, а с пакетом filesystem ничего не получается.
Можно подумать в сторону распила этого пакета.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Michael Shigorin]

On Sun, May 07, 2006 at 06:43:19PM +0400, Dmitry V. Levin wrote:
> Короче говоря, куда не крути, а с пакетом filesystem ничего не
> получается.  Можно подумать в сторону распила этого пакета.

В смысле на отдельные /boot /lib/modules, а не -control?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] права 700 на /lib/modules.

[Anton Farygin]

Dmitry V. Levin wrote:
> On Sat, May 06, 2006 at 08:56:36PM +0400, Anton D. Kachalov wrote:
>> On Sat, May 06, 2006 at 02:36:48PM +0300, Michael Shigorin wrote:
>>>> ИМХО это только ухудшает ситуацию. Допустим, я хочу
>>>> поэксперементировать с initrd. Что бы мне вызвать mkinird мне
>>>> нужно sudo(или подобное), что потенциально более опасно. Может
>>>> всё ж сделаем 755?
>>> Если делать, то контролируемым.
>> Ага. Очень весело, когда хэшером развернул чрут, а потом снаружи фиг
>> доберёшься до /lib/modules или /boot, что иногда сильно достаёт.
> 
> Это мелочи.  Имеет место быть неразрешимая на вид проблема, которую
> в очередной раз поставили в этом треде: выдача пользователям доступа
> на чтение к модулям ядра одновременно даёт этим пользователям возможность
> DoS'ить insmod/modprobe.

Так для новых ядер это просто исправляется. А для старых можно 
понаписать всяких trigger'ов. или post-script'ов

Я думаю это не сложно будет реализовать.

Rgds,
Rider

Re: [devel] права 700 на /lib/modules.

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1207 bytes --]

On Sun, May 07, 2006 at 11:50:29PM +0400, Anton Farygin wrote:
> Dmitry V. Levin wrote:
> > On Sat, May 06, 2006 at 08:56:36PM +0400, Anton D. Kachalov wrote:
> >> On Sat, May 06, 2006 at 02:36:48PM +0300, Michael Shigorin wrote:
> >>>> ИМХО это только ухудшает ситуацию. Допустим, я хочу
> >>>> поэксперементировать с initrd. Что бы мне вызвать mkinird мне
> >>>> нужно sudo(или подобное), что потенциально более опасно. Может
> >>>> всё ж сделаем 755?
> >>> Если делать, то контролируемым.
> >> Ага. Очень весело, когда хэшером развернул чрут, а потом снаружи фиг
> >> доберёшься до /lib/modules или /boot, что иногда сильно достаёт.
> > 
> > Это мелочи.  Имеет место быть неразрешимая на вид проблема, которую
> > в очередной раз поставили в этом треде: выдача пользователям доступа
> > на чтение к модулям ядра одновременно даёт этим пользователям возможность
> > DoS'ить insmod/modprobe.
> 
> Так для новых ядер это просто исправляется. А для старых можно 
> понаписать всяких trigger'ов. или post-script'ов

Антон, прочти внимательнее:
Выдача пользователям доступа на чтение к модулям ядра одновременно даёт
этим пользователям возможность DoS'ить insmod/modprobe.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [devel] права 700 на /lib/modules.

[Anton Farygin]

Dmitry V. Levin wrote:
> On Sun, May 07, 2006 at 11:50:29PM +0400, Anton Farygin wrote:
>> Dmitry V. Levin wrote:
>>> On Sat, May 06, 2006 at 08:56:36PM +0400, Anton D. Kachalov wrote:
>>>> On Sat, May 06, 2006 at 02:36:48PM +0300, Michael Shigorin wrote:
>>>>>> ИМХО это только ухудшает ситуацию. Допустим, я хочу
>>>>>> поэксперементировать с initrd. Что бы мне вызвать mkinird мне
>>>>>> нужно sudo(или подобное), что потенциально более опасно. Может
>>>>>> всё ж сделаем 755?
>>>>> Если делать, то контролируемым.
>>>> Ага. Очень весело, когда хэшером развернул чрут, а потом снаружи фиг
>>>> доберёшься до /lib/modules или /boot, что иногда сильно достаёт.
>>> Это мелочи.  Имеет место быть неразрешимая на вид проблема, которую
>>> в очередной раз поставили в этом треде: выдача пользователям доступа
>>> на чтение к модулям ядра одновременно даёт этим пользователям возможность
>>> DoS'ить insmod/modprobe.
>> Так для новых ядер это просто исправляется. А для старых можно 
>> понаписать всяких trigger'ов. или post-script'ов
> 
> Антон, прочти внимательнее:
> Выдача пользователям доступа на чтение к модулям ядра одновременно даёт
> этим пользователям возможность DoS'ить insmod/modprobe.

Я прочёл внимательно. Предлагается выдавать права 755 к 
/lib/modules/2.6.16-std26-up-alt4/build для пользователя, но 700 на всё 
остальное содержимое (кроме pcimap)

Тогда DOS будет невозможен а огромная масса скриптов сторонних 
разработчиков заработает.


Rgds,
Rider