* [Sysadmins] SUID SGID and NO_CREATER door in linux system
@ 2009-05-17 19:39 antivir88
2009-05-18 7:49 ` antivir88
` (2 more replies)
0 siblings, 3 replies; 12+ messages in thread
From: antivir88 @ 2009-05-17 19:39 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 731 bytes --]
Подскажите что делать с SUID и SGID битами на программах????
ими почти все игры как ёлки обвешаны и несколько программ, действительно ли
стоит стать паранойкам и вычищать их от этого или же будь как будет??
Подскажи что делать с файлами у которых нет хозяина - такие появляются
непонятно почему при создании нового пользователя...
в атачах пример файлов с описанными проблеммами.
дистрибутив: ALT Linux 4.0 Desktop
[-- Attachment #2: kmailuNHcYa.txt --]
[-- Type: text/plain, Size: 1656 bytes --]
/home/user1
/home/user1/.lpoptions
/home/user1/.bash_profile
/home/user1/.bash_logout
/home/user1/.bashrc
/home/user1/.rpmmacros
/home/user1/.mutt/lists
/home/user1/.mutt/gpg
/home/user1/.mutt/folder
/home/user1/.mutt/color
/home/user1/.mutt/alias
/home/user1/.mutt/charset
/home/user1/.mutt/bind
/home/user1/.mutt/muttrc
/home/user1/.mutt/header
/home/user1/.mutt/color.default/index
/home/user1/.mutt/color.default/color
/home/user1/.mutt/color.default/header
/home/user1/.mutt/color.default/body
/home/user1/.mutt/set
/home/user1/.mutt/color-select
/home/user2
/home/user2/.lpoptions
/home/user2/.bash_profile
/home/user2/.bash_logout
/home/user2/.bashrc
/home/user2/.rpmmacros
/home/user2/.mutt/lists
/home/user2/.mutt/gpg
/home/user2/.mutt/folder
/home/user2/.mutt/color
/home/user2/.mutt/alias
/home/user2/.mutt/charset
/home/user2/.mutt/bind
/home/user2/.mutt/muttrc
/home/user2/.mutt/header
/home/user2/.mutt/color.default/index
/home/user2/.mutt/color.default/color
/home/user2/.mutt/color.default/header
/home/user2/.mutt/color.default/body
/home/user2/.mutt/set
/home/user2/.mutt/color-select
/home/user3
/home/user3/.lpoptions
/home/user3/.bash_profile
/home/user3/.bash_logout
/home/user3/.bashrc
/home/user3/.rpmmacros
/home/user3/.mutt/lists
/home/user3/.mutt/gpg
/home/user3/.mutt/folder
/home/user3/.mutt/color
/home/user3/.mutt/alias
/home/user3/.mutt/charset
/home/user3/.mutt/bind
/home/user3/.mutt/muttrc
/home/user3/.mutt/header
/home/user3/.mutt/color.default/index
/home/user3/.mutt/color.default/color
/home/user3/.mutt/color.default/header
/home/user3/.mutt/color.default/body
/home/user3/.mutt/set
/home/user3/.mutt/color-select
[-- Attachment #3: suid_sgid_door.txt --]
[-- Type: text/plain, Size: 1357 bytes --]
/usr/bin/sudo
/usr/bin/xterm
/usr/bin/Xorg
/usr/bin/blackjack
/usr/bin/lpq-cups
/usr/bin/gataxx
/usr/bin/cdrdao
/usr/bin/lprm-cups
/usr/bin/crontab
/usr/bin/gnometris
/usr/bin/gpg
/usr/bin/cdrecord-classic
/usr/bin/lpstat-cups
/usr/bin/mahjongg
/usr/bin/kdesud
/usr/bin/lpoptions
/usr/bin/gnomine
/usr/bin/gnotski
/usr/bin/jackstart
/usr/bin/kcheckpass
/usr/bin/wall
/usr/bin/konsole
/usr/bin/passwd
/usr/bin/netlist
/usr/bin/gnibbles
/usr/bin/vdccm
/usr/bin/kppp
/usr/bin/xscreensaver
/usr/bin/gnobots2
/usr/bin/kdetvv4lsetup
/usr/bin/glines
/usr/bin/lpr-cups
/usr/bin/gnotravex
/usr/bin/gtali
/usr/bin/iagno
/usr/bin/xlock
/usr/bin/ssh-agent
/usr/bin/at
/usr/bin/lppasswd
/usr/bin/slocate
/usr/bin/wine
/usr/bin/write
/usr/bin/cancel-cups
/usr/bin/lp-cups
/usr/bin/xtest_wrapper
/usr/bin/same-gnome
/usr/libexec/hasher-priv/hasher-priv
/usr/libexec/postfix/postqueue/postqueue
/usr/lib/chkpwd/tcb_chkpwd
/usr/lib/ahttpd/chkpwd
/usr/lib/utempter/utempter
/usr/lib/squid/pinger
/usr/lib/squid/pam_auth
/usr/lib/vte/gnome-pty-helper
/usr/lib/consolehelper/helper
/usr/lib/consolehelper/priv/auth
/usr/games/kbounce
/usr/games/klickety
/usr/games/kmines
/usr/games/kfouleggs
/usr/games/knetwalk
/usr/games/kreversi
/usr/games/lbreakout2
/usr/games/ksirtet
/usr/sbin/hddtemp
/bin/su
/bin/ping
/sbin/mount.cifs
/sbin/umount.smbfs
/sbin/smbmnt
/sbin/umount.cifs
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system
2009-05-17 19:39 [Sysadmins] SUID SGID and NO_CREATER door in linux system antivir88
@ 2009-05-18 7:49 ` antivir88
2009-05-21 21:11 ` Денис Смирнов
2009-05-18 10:49 ` [Sysadmins] " Mykola S. Grechukh
2009-05-19 18:02 ` George V. Kouryachy
2 siblings, 1 reply; 12+ messages in thread
From: antivir88 @ 2009-05-18 7:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Monday 18 May 2009 02:39:38 antivir88@mail.ru написал(а):
> Подскажите что делать с SUID и SGID битами на программах????
> ими почти все игры как ёлки обвешаны и несколько программ, действительно ли
> стоит стать паранойкам и вычищать их от этого или же будь как будет??
>
> Подскажи что делать с файлами у которых нет хозяина - такие появляются
> непонятно почему при создании нового пользователя...
>
> в атачах пример файлов с описанными проблеммами.
>
> дистрибутив: ALT Linux 4.0 Desktop
Это ведь огромнейшая дыра в безопасности...
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system
2009-05-17 19:39 [Sysadmins] SUID SGID and NO_CREATER door in linux system antivir88
2009-05-18 7:49 ` antivir88
@ 2009-05-18 10:49 ` Mykola S. Grechukh
2009-05-19 18:02 ` George V. Kouryachy
2 siblings, 0 replies; 12+ messages in thread
From: Mykola S. Grechukh @ 2009-05-18 10:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
17 мая 2009 г. 22:39 пользователь <antivir88@mail.ru> написал:
> Подскажите что делать с SUID и SGID битами на программах????
> ими почти все игры как ёлки обвешаны и несколько программ, действительно ли
> стоит стать паранойкам и вычищать их от этого или же будь как будет??
играм, по-видимому, это нужно чтобы писать в /var/games рейтинги.
> Подскажи что делать с файлами у которых нет хозяина - такие появляются
> непонятно почему при создании нового пользователя...
что значит "нет хозяина" ?
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system
2009-05-17 19:39 [Sysadmins] SUID SGID and NO_CREATER door in linux system antivir88
2009-05-18 7:49 ` antivir88
2009-05-18 10:49 ` [Sysadmins] " Mykola S. Grechukh
@ 2009-05-19 18:02 ` George V. Kouryachy
2009-05-19 22:03 ` antivir88
2 siblings, 1 reply; 12+ messages in thread
From: George V. Kouryachy @ 2009-05-19 18:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Mon, May 18, 2009 at 02:39:38AM +0700, antivir88@mail.ru wrote:
> Подскажите что делать с SUID и SGID битами на программах????
Не трогать, особенно SGID. Если у программы отобрать SUID, она просто
перестанет работать, а вот глюки от отсутствия SGID можно не сразу
заметить.
> Подскажи что делать с файлами у которых нет хозяина - такие появляются
> непонятно почему при создании нового пользователя...
Выражайтесь точнее. У любого файла есть UID.
> в атачах пример файлов с описанными проблеммами.
В аттачах -- пример _имён_ файлов, никаких проблем с именами нет. Могу
подозревать, что один из списков содержит SUID- и SGID-файлы.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_org
P.S. И ссылочку на описание "NO_CREATER door", а то, боюсь, многие --
как и я -- не поняли, о чём речь. Спасибо.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system
2009-05-19 18:02 ` George V. Kouryachy
@ 2009-05-19 22:03 ` antivir88
2009-05-20 5:58 ` Andrew Avramenko
` (2 more replies)
0 siblings, 3 replies; 12+ messages in thread
From: antivir88 @ 2009-05-19 22:03 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Wednesday 20 May 2009 01:02:38 George V. Kouryachy написал(а):
> On Mon, May 18, 2009 at 02:39:38AM +0700, antivir88@mail.ru wrote:
> > Подскажите что делать с SUID и SGID битами на программах????
>
> Не трогать, особенно SGID. Если у программы отобрать SUID, она просто
> перестанет работать, а вот глюки от отсутствия SGID можно не сразу
> заметить.
>
> > Подскажи что делать с файлами у которых нет хозяина - такие появляются
> > непонятно почему при создании нового пользователя...
>
> Выражайтесь точнее. У любого файла есть UID.
>
> > в атачах пример файлов с описанными проблеммами.
>
> В аттачах -- пример _имён_ файлов, никаких проблем с именами нет. Могу
> подозревать, что один из списков содержит SUID- и SGID-файлы.
С именами файлов проблемма решена ;)
(кстати об UID я знал, проблемма была именно в том что они были ничейными)
А вот с SUID и SGID дверями ломать голову наверно долго придётся,
помойму почемуто кажется что проще в указаных в прошлом письме
(в атаче suid_sgid_door.txt) выключить вообще эти биты, а при наступлении
некоторых граблей делать вывод о возврате какой-либо программе этих битов..
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system
2009-05-19 22:03 ` antivir88
@ 2009-05-20 5:58 ` Andrew Avramenko
2009-05-20 19:52 ` George V. Kouryachy
2009-05-22 22:29 ` Денис Смирнов
2 siblings, 0 replies; 12+ messages in thread
From: Andrew Avramenko @ 2009-05-20 5:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Добрый день!
В чем Вы видите проблему в SUID/SGID битах? Если Вы сомневаетесь в
программе, то Вы же ее ставили из-под рута, значит уже у нее были все
возможности сломать Вашу систему, а после установки никто кроме рута
ее все равно не отредактирует.
Файлы с UID несуществующего пользователя появляются как правило после
того как этого пользователя удалили или при копировании с другой
системы с сохранением прав. Никакой угрозы безопасности системе они не
представляют.
--
With best regards,
Andrew
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system
2009-05-19 22:03 ` antivir88
2009-05-20 5:58 ` Andrew Avramenko
@ 2009-05-20 19:52 ` George V. Kouryachy
2009-05-22 22:29 ` Денис Смирнов
2 siblings, 0 replies; 12+ messages in thread
From: George V. Kouryachy @ 2009-05-20 19:52 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Wed, May 20, 2009 at 05:03:31AM +0700, antivir88@mail.ru wrote:
> >> Подскажи что делать с файлами у которых нет хозяина - такие появляются
> >> непонятно почему при создании нового пользователя...
>> Выражайтесь точнее. У любого файла есть UID.
> (кстати об UID я знал, проблемма была именно в том что они были ничейными)
Вы так и не объяснили, что такое "ничейный файл"; впрочем, тут в
соседнем письме этот загадочный термин истолковали, и даже ответили.
> А вот с SUID и SGID дверями ломать голову наверно долго придётся,
Не надо дверями ломать голову :). Как вы считаете, что потенциально
опаснее: позволять пользователю запускать ограниченный набор программ со
сменой UID, или менять этот UID от суперпользователя вручную, чтобы потом
запустить программу?
Моё мнение:
1. Вы найдёте крайне мало программ в Sisyphus, которые после удаление
SUID/SGID будут работать так же, как и раньше.
2. Проблему безопасности SUID/SGID прогорамм иных, чем SUID root, считаю
слабоактуальной.
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_org
P.S. Не забывайте, что на свете очень много людей читают исходники,
особенно SUID root программ.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system
2009-05-18 7:49 ` antivir88
@ 2009-05-21 21:11 ` Денис Смирнов
2009-05-26 18:27 ` [Sysadmins] [JT] " Michael Shigorin
0 siblings, 1 reply; 12+ messages in thread
From: Денис Смирнов @ 2009-05-21 21:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 870 bytes --]
On Mon, May 18, 2009 at 02:49:59PM +0700, antivir88@mail.ru wrote:
>> Подскажите что делать с SUID и SGID битами на программах????
>> ими почти все игры как ёлки обвешаны и несколько программ, действительно ли
>> стоит стать паранойкам и вычищать их от этого или же будь как будет??
>> Подскажи что делать с файлами у которых нет хозяина - такие появляются
>> непонятно почему при создании нового пользователя...
>> в атачах пример файлов с описанными проблеммами.
>> дистрибутив: ALT Linux 4.0 Desktop
> Это ведь огромнейшая дыра в безопасности...
Для начала посмотрите кто владелец у программ с SGID. У игрушек, например,
стоит SGID. Но это SGID _games_. Который бесправный пользователь, поэтому
ничего плохого в этом нет.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system
2009-05-19 22:03 ` antivir88
2009-05-20 5:58 ` Andrew Avramenko
2009-05-20 19:52 ` George V. Kouryachy
@ 2009-05-22 22:29 ` Денис Смирнов
2 siblings, 0 replies; 12+ messages in thread
From: Денис Смирнов @ 2009-05-22 22:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1034 bytes --]
On Wed, May 20, 2009 at 05:03:31AM +0700, antivir88@mail.ru wrote:
> А вот с SUID и SGID дверями ломать голову наверно долго придётся,
> помойму почемуто кажется что проще в указаных в прошлом письме
> (в атаче suid_sgid_door.txt) выключить вообще эти биты, а при наступлении
> некоторых граблей делать вывод о возврате какой-либо программе этих битов..
Надо сначала почитать документацию о том как работает SUID и SGID, дать по
морде тому идиоту который вам сказал что "SGID/SUID это всегда плохо", а
также подумать о том что квалификация мантейнеров в команде в плане
безопасности весьма немаленькая.
И во многих случаях отключение того же SGID приведет к множеству проблем,
и, возможно, даже к появлению security проблем. SUID/SGID если owner/group
_не_ root, обычно является важным и разумным.
А SUID root на небольшом количестве приложений, где это действительно
необходимо.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* [Sysadmins] [JT] Re: SUID SGID and NO_CREATER door in linux system
2009-05-21 21:11 ` Денис Смирнов
@ 2009-05-26 18:27 ` Michael Shigorin
2009-05-26 18:46 ` George V. Kouryachy
0 siblings, 1 reply; 12+ messages in thread
From: Michael Shigorin @ 2009-05-26 18:27 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Fri, May 22, 2009 at 01:11:44AM +0400, Денис Смирнов wrote:
> > Это ведь огромнейшая дыра в безопасности...
> Для начала посмотрите кто владелец у программ с SGID. У
> игрушек, например, стоит SGID. Но это SGID _games_. Который
> бесправный пользователь, поэтому ничего плохого в этом нет.
Это пока тебе в шутку не сбросили годами вылизывавшийся
high score в xboing ;-)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] [JT] Re: SUID SGID and NO_CREATER door in linux system
2009-05-26 18:27 ` [Sysadmins] [JT] " Michael Shigorin
@ 2009-05-26 18:46 ` George V. Kouryachy
2009-05-26 19:29 ` Michael Shigorin
0 siblings, 1 reply; 12+ messages in thread
From: George V. Kouryachy @ 2009-05-26 18:46 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
On Tue, May 26, 2009 at 09:27:05PM +0300, Michael Shigorin wrote:
> Это пока тебе в шутку не сбросили годами вылизывавшийся
> high score в xboing ;-)
XBoing - Error: Xlib Error: BadMatch (invalid parameter attributes)
XBoing работает только в палитрованном режиме, т. е. -depth 8 :((
Вот бы запатчил кто :).
--
George V. Kouryachy (aka Fr. Br. George)
mailto:george at altlinux_org
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] [JT] Re: SUID SGID and NO_CREATER door in linux system
2009-05-26 18:46 ` George V. Kouryachy
@ 2009-05-26 19:29 ` Michael Shigorin
0 siblings, 0 replies; 12+ messages in thread
From: Michael Shigorin @ 2009-05-26 19:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Tue, May 26, 2009 at 10:46:37PM +0400, George V. Kouryachy wrote:
> > Это пока тебе в шутку не сбросили годами вылизывавшийся
> > high score в xboing ;-)
> XBoing - Error: Xlib Error: BadMatch (invalid parameter attributes)
> XBoing работает только в палитрованном режиме, т. е. -depth 8 :((
> Вот бы запатчил кто :).
Странно, у меня (точнее, у сестрёнки) по жизни работал в 16.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2009-05-26 19:29 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-05-17 19:39 [Sysadmins] SUID SGID and NO_CREATER door in linux system antivir88
2009-05-18 7:49 ` antivir88
2009-05-21 21:11 ` Денис Смирнов
2009-05-26 18:27 ` [Sysadmins] [JT] " Michael Shigorin
2009-05-26 18:46 ` George V. Kouryachy
2009-05-26 19:29 ` Michael Shigorin
2009-05-18 10:49 ` [Sysadmins] " Mykola S. Grechukh
2009-05-19 18:02 ` George V. Kouryachy
2009-05-19 22:03 ` antivir88
2009-05-20 5:58 ` Andrew Avramenko
2009-05-20 19:52 ` George V. Kouryachy
2009-05-22 22:29 ` Денис Смирнов
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git