* [devel] Q: wireshark и "--enable-setuid-install" @ 2008-03-09 7:51 Alexey I. Froloff 2008-03-09 13:35 ` Dmitry V. Levin 0 siblings, 1 reply; 5+ messages in thread From: Alexey I. Froloff @ 2008-03-09 7:51 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 987 bytes --] Я собираюсь повесить "suid'ность" wireshark на control(8). Пара слов о том, в чём она заключается. В прошлой версии аффтары реализовали механизм privilege separation. Теперь сеть слушает только один процесс dumpcap, отдавая сырой поток основной программе через пайп. Эта и только эта программа теперь имеет право запускаться с правами привелигерованного пользователя. Таким образом ошибки в диссекторах теперь позволяют выполнять произвольный код только в окружении запустившего это решето пользователя (сам wireshark матерно ругается когда его запускают от root). Состояния об'екта wireshark_capture (не слишком длинно?) думаю будут такие: restricted - root:root 700 netadmin - root:netadmin 4710 public - root:root 711 Собсно, вопрос: Я не уверен, надо ли позволять ващще всем капчурить сеть (suid'ный public) и будут ли хоть что-то работать в режиме public (как тут с tun/tap?). Ну и интересует состояние по умолчанию. -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Q: wireshark и "--enable-setuid-install" 2008-03-09 7:51 [devel] Q: wireshark и "--enable-setuid-install" Alexey I. Froloff @ 2008-03-09 13:35 ` Dmitry V. Levin 2008-03-09 14:22 ` Alexey I. Froloff 0 siblings, 1 reply; 5+ messages in thread From: Dmitry V. Levin @ 2008-03-09 13:35 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 584 bytes --] On Sun, Mar 09, 2008 at 10:51:57AM +0300, Alexey I. Froloff wrote: > Я собираюсь повесить "suid'ность" wireshark на control(8). Пара > слов о том, в чём она заключается. > > В прошлой версии аффтары реализовали механизм privilege > separation. Теперь сеть слушает только один процесс dumpcap, > отдавая сырой поток основной программе через пайп. Эта и только > эта программа теперь имеет право запускаться с правами > привелигерованного пользователя. А этот привилегированный процесс dumpcap имеет смысл запускать отдельно от других процесов wireshark? -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Q: wireshark и "--enable-setuid-install" 2008-03-09 13:35 ` Dmitry V. Levin @ 2008-03-09 14:22 ` Alexey I. Froloff 2008-03-10 16:22 ` Dmitry V. Levin 0 siblings, 1 reply; 5+ messages in thread From: Alexey I. Froloff @ 2008-03-09 14:22 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 838 bytes --] * Dmitry V. Levin <ldv@> [080309 16:39]: > > В прошлой версии аффтары реализовали механизм privilege > > separation. Теперь сеть слушает только один процесс dumpcap, > > отдавая сырой поток основной программе через пайп. Эта и только > > эта программа теперь имеет право запускаться с правами > > привелигерованного пользователя. > А этот привилегированный процесс dumpcap имеет смысл запускать отдельно > от других процесов wireshark? В каком смысле? На самом деле dumpcap запускается самими wireshark и tshark и принимают от него сырой поток данных. Оно суидное, выставляет капабилити, сбрасывает привилегии, как раньше сам *shark делал. Помойму не чрутится, но можно прикрутить. Дырявость диссекторов это тем не менее не компенсирует. P.S. Пошёл вписывать номера CVE в %changelog. -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Q: wireshark и "--enable-setuid-install" 2008-03-09 14:22 ` Alexey I. Froloff @ 2008-03-10 16:22 ` Dmitry V. Levin 2008-03-10 16:57 ` Alexey I. Froloff 0 siblings, 1 reply; 5+ messages in thread From: Dmitry V. Levin @ 2008-03-10 16:22 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 1535 bytes --] On Sun, Mar 09, 2008 at 05:22:39PM +0300, Alexey I. Froloff wrote: > * Dmitry V. Levin <ldv@> [080309 16:39]: > > > В прошлой версии аффтары реализовали механизм privilege > > > separation. Теперь сеть слушает только один процесс dumpcap, > > > отдавая сырой поток основной программе через пайп. Эта и только > > > эта программа теперь имеет право запускаться с правами > > > привелигерованного пользователя. > > А этот привилегированный процесс dumpcap имеет смысл запускать отдельно > > от других процесов wireshark? > В каком смысле? На самом деле dumpcap запускается самими > wireshark и tshark и принимают от него сырой поток данных. > > Оно суидное, выставляет капабилити, сбрасывает привилегии, как > раньше сам *shark делал. Помойму не чрутится, но можно > прикрутить. Если привилегированный dumpcap executable имеет смысл запускать только wireshark'у, то лучше сделать так, чтобы остальные процессы не имели прав запускать этот привилегированный dumpcap executable. По аналогии с libutempter, можно завести какую-нибудь группу _dumpcap, сделать какой-нибудь каталог /usr/libexec/dumpcap c правами доступа %attr(0750,root,_dumpcap), положить dumpcap executable в этот каталог, и повесить set-gid _dumpcap на те executables, которые должны иметь право запускать dumpcap executable. Желательно ещё сделать так, чтобы эти приложения сбрасывали set-gid _dumpcap. > Дырявость диссекторов это тем не менее не компенсирует. Их бы тоже куда-нибудь засунуть, чтобы не высовывались. -- ldv [-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [devel] Q: wireshark и "--enable-setuid-install" 2008-03-10 16:22 ` Dmitry V. Levin @ 2008-03-10 16:57 ` Alexey I. Froloff 0 siblings, 0 replies; 5+ messages in thread From: Alexey I. Froloff @ 2008-03-10 16:57 UTC (permalink / raw) To: ALT Devel discussion list [-- Attachment #1: Type: text/plain, Size: 697 bytes --] * Dmitry V. Levin <ldv@> [080310 19:32]: > Если привилегированный dumpcap executable имеет смысл запускать только > wireshark'у, то лучше сделать так, чтобы остальные процессы не имели прав > запускать этот привилегированный dumpcap executable. Нет, это обычная утилита, делает примерно то же самое что и tcpdump с ключами -s0 и -w. Просто у неё есть "секретный" ключ, который перенаправляет вывод не в файл, а на stdout. В принципе сделал четыре состояния. "Можно пускать не всем" (root и @netadmin), "можно пускать всем" и "можно пускать всем, но толку не будет". > Их бы тоже куда-нибудь засунуть, чтобы не высовывались. Их бы писать не на сях... -- Regards, Sir Raorn. [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2008-03-10 16:57 UTC | newest] Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2008-03-09 7:51 [devel] Q: wireshark и "--enable-setuid-install" Alexey I. Froloff 2008-03-09 13:35 ` Dmitry V. Levin 2008-03-09 14:22 ` Alexey I. Froloff 2008-03-10 16:22 ` Dmitry V. Levin 2008-03-10 16:57 ` Alexey I. Froloff
ALT Linux Team development discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \ devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru public-inbox-index devel Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.devel AGPL code for this site: git clone https://public-inbox.org/public-inbox.git