* [Sysadmins] SUID SGID and NO_CREATER door in linux system
@ 2009-05-17 19:39 antivir88
2009-05-18 7:49 ` antivir88
` (2 more replies)
0 siblings, 3 replies; 12+ messages in thread
From: antivir88 @ 2009-05-17 19:39 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 731 bytes --]
Подскажите что делать с SUID и SGID битами на программах????
ими почти все игры как ёлки обвешаны и несколько программ, действительно ли
стоит стать паранойкам и вычищать их от этого или же будь как будет??
Подскажи что делать с файлами у которых нет хозяина - такие появляются
непонятно почему при создании нового пользователя...
в атачах пример файлов с описанными проблеммами.
дистрибутив: ALT Linux 4.0 Desktop
[-- Attachment #2: kmailuNHcYa.txt --]
[-- Type: text/plain, Size: 1656 bytes --]
/home/user1
/home/user1/.lpoptions
/home/user1/.bash_profile
/home/user1/.bash_logout
/home/user1/.bashrc
/home/user1/.rpmmacros
/home/user1/.mutt/lists
/home/user1/.mutt/gpg
/home/user1/.mutt/folder
/home/user1/.mutt/color
/home/user1/.mutt/alias
/home/user1/.mutt/charset
/home/user1/.mutt/bind
/home/user1/.mutt/muttrc
/home/user1/.mutt/header
/home/user1/.mutt/color.default/index
/home/user1/.mutt/color.default/color
/home/user1/.mutt/color.default/header
/home/user1/.mutt/color.default/body
/home/user1/.mutt/set
/home/user1/.mutt/color-select
/home/user2
/home/user2/.lpoptions
/home/user2/.bash_profile
/home/user2/.bash_logout
/home/user2/.bashrc
/home/user2/.rpmmacros
/home/user2/.mutt/lists
/home/user2/.mutt/gpg
/home/user2/.mutt/folder
/home/user2/.mutt/color
/home/user2/.mutt/alias
/home/user2/.mutt/charset
/home/user2/.mutt/bind
/home/user2/.mutt/muttrc
/home/user2/.mutt/header
/home/user2/.mutt/color.default/index
/home/user2/.mutt/color.default/color
/home/user2/.mutt/color.default/header
/home/user2/.mutt/color.default/body
/home/user2/.mutt/set
/home/user2/.mutt/color-select
/home/user3
/home/user3/.lpoptions
/home/user3/.bash_profile
/home/user3/.bash_logout
/home/user3/.bashrc
/home/user3/.rpmmacros
/home/user3/.mutt/lists
/home/user3/.mutt/gpg
/home/user3/.mutt/folder
/home/user3/.mutt/color
/home/user3/.mutt/alias
/home/user3/.mutt/charset
/home/user3/.mutt/bind
/home/user3/.mutt/muttrc
/home/user3/.mutt/header
/home/user3/.mutt/color.default/index
/home/user3/.mutt/color.default/color
/home/user3/.mutt/color.default/header
/home/user3/.mutt/color.default/body
/home/user3/.mutt/set
/home/user3/.mutt/color-select
[-- Attachment #3: suid_sgid_door.txt --]
[-- Type: text/plain, Size: 1357 bytes --]
/usr/bin/sudo
/usr/bin/xterm
/usr/bin/Xorg
/usr/bin/blackjack
/usr/bin/lpq-cups
/usr/bin/gataxx
/usr/bin/cdrdao
/usr/bin/lprm-cups
/usr/bin/crontab
/usr/bin/gnometris
/usr/bin/gpg
/usr/bin/cdrecord-classic
/usr/bin/lpstat-cups
/usr/bin/mahjongg
/usr/bin/kdesud
/usr/bin/lpoptions
/usr/bin/gnomine
/usr/bin/gnotski
/usr/bin/jackstart
/usr/bin/kcheckpass
/usr/bin/wall
/usr/bin/konsole
/usr/bin/passwd
/usr/bin/netlist
/usr/bin/gnibbles
/usr/bin/vdccm
/usr/bin/kppp
/usr/bin/xscreensaver
/usr/bin/gnobots2
/usr/bin/kdetvv4lsetup
/usr/bin/glines
/usr/bin/lpr-cups
/usr/bin/gnotravex
/usr/bin/gtali
/usr/bin/iagno
/usr/bin/xlock
/usr/bin/ssh-agent
/usr/bin/at
/usr/bin/lppasswd
/usr/bin/slocate
/usr/bin/wine
/usr/bin/write
/usr/bin/cancel-cups
/usr/bin/lp-cups
/usr/bin/xtest_wrapper
/usr/bin/same-gnome
/usr/libexec/hasher-priv/hasher-priv
/usr/libexec/postfix/postqueue/postqueue
/usr/lib/chkpwd/tcb_chkpwd
/usr/lib/ahttpd/chkpwd
/usr/lib/utempter/utempter
/usr/lib/squid/pinger
/usr/lib/squid/pam_auth
/usr/lib/vte/gnome-pty-helper
/usr/lib/consolehelper/helper
/usr/lib/consolehelper/priv/auth
/usr/games/kbounce
/usr/games/klickety
/usr/games/kmines
/usr/games/kfouleggs
/usr/games/knetwalk
/usr/games/kreversi
/usr/games/lbreakout2
/usr/games/ksirtet
/usr/sbin/hddtemp
/bin/su
/bin/ping
/sbin/mount.cifs
/sbin/umount.smbfs
/sbin/smbmnt
/sbin/umount.cifs
^ permalink raw reply [flat|nested] 12+ messages in thread* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system 2009-05-17 19:39 [Sysadmins] SUID SGID and NO_CREATER door in linux system antivir88 @ 2009-05-18 7:49 ` antivir88 2009-05-21 21:11 ` Денис Смирнов 2009-05-18 10:49 ` [Sysadmins] " Mykola S. Grechukh 2009-05-19 18:02 ` George V. Kouryachy 2 siblings, 1 reply; 12+ messages in thread From: antivir88 @ 2009-05-18 7:49 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от Monday 18 May 2009 02:39:38 antivir88@mail.ru написал(а): > Подскажите что делать с SUID и SGID битами на программах???? > ими почти все игры как ёлки обвешаны и несколько программ, действительно ли > стоит стать паранойкам и вычищать их от этого или же будь как будет?? > > Подскажи что делать с файлами у которых нет хозяина - такие появляются > непонятно почему при создании нового пользователя... > > в атачах пример файлов с описанными проблеммами. > > дистрибутив: ALT Linux 4.0 Desktop Это ведь огромнейшая дыра в безопасности... ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system 2009-05-18 7:49 ` antivir88 @ 2009-05-21 21:11 ` Денис Смирнов 2009-05-26 18:27 ` [Sysadmins] [JT] " Michael Shigorin 0 siblings, 1 reply; 12+ messages in thread From: Денис Смирнов @ 2009-05-21 21:11 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 870 bytes --] On Mon, May 18, 2009 at 02:49:59PM +0700, antivir88@mail.ru wrote: >> Подскажите что делать с SUID и SGID битами на программах???? >> ими почти все игры как ёлки обвешаны и несколько программ, действительно ли >> стоит стать паранойкам и вычищать их от этого или же будь как будет?? >> Подскажи что делать с файлами у которых нет хозяина - такие появляются >> непонятно почему при создании нового пользователя... >> в атачах пример файлов с описанными проблеммами. >> дистрибутив: ALT Linux 4.0 Desktop > Это ведь огромнейшая дыра в безопасности... Для начала посмотрите кто владелец у программ с SGID. У игрушек, например, стоит SGID. Но это SGID _games_. Который бесправный пользователь, поэтому ничего плохого в этом нет. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
* [Sysadmins] [JT] Re: SUID SGID and NO_CREATER door in linux system 2009-05-21 21:11 ` Денис Смирнов @ 2009-05-26 18:27 ` Michael Shigorin 2009-05-26 18:46 ` George V. Kouryachy 0 siblings, 1 reply; 12+ messages in thread From: Michael Shigorin @ 2009-05-26 18:27 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Fri, May 22, 2009 at 01:11:44AM +0400, Денис Смирнов wrote: > > Это ведь огромнейшая дыра в безопасности... > Для начала посмотрите кто владелец у программ с SGID. У > игрушек, например, стоит SGID. Но это SGID _games_. Который > бесправный пользователь, поэтому ничего плохого в этом нет. Это пока тебе в шутку не сбросили годами вылизывавшийся high score в xboing ;-) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] [JT] Re: SUID SGID and NO_CREATER door in linux system 2009-05-26 18:27 ` [Sysadmins] [JT] " Michael Shigorin @ 2009-05-26 18:46 ` George V. Kouryachy 2009-05-26 19:29 ` Michael Shigorin 0 siblings, 1 reply; 12+ messages in thread From: George V. Kouryachy @ 2009-05-26 18:46 UTC (permalink / raw) To: shigorin, ALT Linux sysadmin discuss On Tue, May 26, 2009 at 09:27:05PM +0300, Michael Shigorin wrote: > Это пока тебе в шутку не сбросили годами вылизывавшийся > high score в xboing ;-) XBoing - Error: Xlib Error: BadMatch (invalid parameter attributes) XBoing работает только в палитрованном режиме, т. е. -depth 8 :(( Вот бы запатчил кто :). -- George V. Kouryachy (aka Fr. Br. George) mailto:george at altlinux_org ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] [JT] Re: SUID SGID and NO_CREATER door in linux system 2009-05-26 18:46 ` George V. Kouryachy @ 2009-05-26 19:29 ` Michael Shigorin 0 siblings, 0 replies; 12+ messages in thread From: Michael Shigorin @ 2009-05-26 19:29 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Tue, May 26, 2009 at 10:46:37PM +0400, George V. Kouryachy wrote: > > Это пока тебе в шутку не сбросили годами вылизывавшийся > > high score в xboing ;-) > XBoing - Error: Xlib Error: BadMatch (invalid parameter attributes) > XBoing работает только в палитрованном режиме, т. е. -depth 8 :(( > Вот бы запатчил кто :). Странно, у меня (точнее, у сестрёнки) по жизни работал в 16. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system 2009-05-17 19:39 [Sysadmins] SUID SGID and NO_CREATER door in linux system antivir88 2009-05-18 7:49 ` antivir88 @ 2009-05-18 10:49 ` Mykola S. Grechukh 2009-05-19 18:02 ` George V. Kouryachy 2 siblings, 0 replies; 12+ messages in thread From: Mykola S. Grechukh @ 2009-05-18 10:49 UTC (permalink / raw) To: ALT Linux sysadmin discuss 17 мая 2009 г. 22:39 пользователь <antivir88@mail.ru> написал: > Подскажите что делать с SUID и SGID битами на программах???? > ими почти все игры как ёлки обвешаны и несколько программ, действительно ли > стоит стать паранойкам и вычищать их от этого или же будь как будет?? играм, по-видимому, это нужно чтобы писать в /var/games рейтинги. > Подскажи что делать с файлами у которых нет хозяина - такие появляются > непонятно почему при создании нового пользователя... что значит "нет хозяина" ? ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system 2009-05-17 19:39 [Sysadmins] SUID SGID and NO_CREATER door in linux system antivir88 2009-05-18 7:49 ` antivir88 2009-05-18 10:49 ` [Sysadmins] " Mykola S. Grechukh @ 2009-05-19 18:02 ` George V. Kouryachy 2009-05-19 22:03 ` antivir88 2 siblings, 1 reply; 12+ messages in thread From: George V. Kouryachy @ 2009-05-19 18:02 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Mon, May 18, 2009 at 02:39:38AM +0700, antivir88@mail.ru wrote: > Подскажите что делать с SUID и SGID битами на программах???? Не трогать, особенно SGID. Если у программы отобрать SUID, она просто перестанет работать, а вот глюки от отсутствия SGID можно не сразу заметить. > Подскажи что делать с файлами у которых нет хозяина - такие появляются > непонятно почему при создании нового пользователя... Выражайтесь точнее. У любого файла есть UID. > в атачах пример файлов с описанными проблеммами. В аттачах -- пример _имён_ файлов, никаких проблем с именами нет. Могу подозревать, что один из списков содержит SUID- и SGID-файлы. -- George V. Kouryachy (aka Fr. Br. George) mailto:george at altlinux_org P.S. И ссылочку на описание "NO_CREATER door", а то, боюсь, многие -- как и я -- не поняли, о чём речь. Спасибо. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system 2009-05-19 18:02 ` George V. Kouryachy @ 2009-05-19 22:03 ` antivir88 2009-05-20 5:58 ` Andrew Avramenko ` (2 more replies) 0 siblings, 3 replies; 12+ messages in thread From: antivir88 @ 2009-05-19 22:03 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от Wednesday 20 May 2009 01:02:38 George V. Kouryachy написал(а): > On Mon, May 18, 2009 at 02:39:38AM +0700, antivir88@mail.ru wrote: > > Подскажите что делать с SUID и SGID битами на программах???? > > Не трогать, особенно SGID. Если у программы отобрать SUID, она просто > перестанет работать, а вот глюки от отсутствия SGID можно не сразу > заметить. > > > Подскажи что делать с файлами у которых нет хозяина - такие появляются > > непонятно почему при создании нового пользователя... > > Выражайтесь точнее. У любого файла есть UID. > > > в атачах пример файлов с описанными проблеммами. > > В аттачах -- пример _имён_ файлов, никаких проблем с именами нет. Могу > подозревать, что один из списков содержит SUID- и SGID-файлы. С именами файлов проблемма решена ;) (кстати об UID я знал, проблемма была именно в том что они были ничейными) А вот с SUID и SGID дверями ломать голову наверно долго придётся, помойму почемуто кажется что проще в указаных в прошлом письме (в атаче suid_sgid_door.txt) выключить вообще эти биты, а при наступлении некоторых граблей делать вывод о возврате какой-либо программе этих битов.. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system 2009-05-19 22:03 ` antivir88 @ 2009-05-20 5:58 ` Andrew Avramenko 2009-05-20 19:52 ` George V. Kouryachy 2009-05-22 22:29 ` Денис Смирнов 2 siblings, 0 replies; 12+ messages in thread From: Andrew Avramenko @ 2009-05-20 5:58 UTC (permalink / raw) To: ALT Linux sysadmin discuss Добрый день! В чем Вы видите проблему в SUID/SGID битах? Если Вы сомневаетесь в программе, то Вы же ее ставили из-под рута, значит уже у нее были все возможности сломать Вашу систему, а после установки никто кроме рута ее все равно не отредактирует. Файлы с UID несуществующего пользователя появляются как правило после того как этого пользователя удалили или при копировании с другой системы с сохранением прав. Никакой угрозы безопасности системе они не представляют. -- With best regards, Andrew ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system 2009-05-19 22:03 ` antivir88 2009-05-20 5:58 ` Andrew Avramenko @ 2009-05-20 19:52 ` George V. Kouryachy 2009-05-22 22:29 ` Денис Смирнов 2 siblings, 0 replies; 12+ messages in thread From: George V. Kouryachy @ 2009-05-20 19:52 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Wed, May 20, 2009 at 05:03:31AM +0700, antivir88@mail.ru wrote: > >> Подскажи что делать с файлами у которых нет хозяина - такие появляются > >> непонятно почему при создании нового пользователя... >> Выражайтесь точнее. У любого файла есть UID. > (кстати об UID я знал, проблемма была именно в том что они были ничейными) Вы так и не объяснили, что такое "ничейный файл"; впрочем, тут в соседнем письме этот загадочный термин истолковали, и даже ответили. > А вот с SUID и SGID дверями ломать голову наверно долго придётся, Не надо дверями ломать голову :). Как вы считаете, что потенциально опаснее: позволять пользователю запускать ограниченный набор программ со сменой UID, или менять этот UID от суперпользователя вручную, чтобы потом запустить программу? Моё мнение: 1. Вы найдёте крайне мало программ в Sisyphus, которые после удаление SUID/SGID будут работать так же, как и раньше. 2. Проблему безопасности SUID/SGID прогорамм иных, чем SUID root, считаю слабоактуальной. -- George V. Kouryachy (aka Fr. Br. George) mailto:george at altlinux_org P.S. Не забывайте, что на свете очень много людей читают исходники, особенно SUID root программ. ^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [Sysadmins] SUID SGID and NO_CREATER door in linux system 2009-05-19 22:03 ` antivir88 2009-05-20 5:58 ` Andrew Avramenko 2009-05-20 19:52 ` George V. Kouryachy @ 2009-05-22 22:29 ` Денис Смирнов 2 siblings, 0 replies; 12+ messages in thread From: Денис Смирнов @ 2009-05-22 22:29 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 1034 bytes --] On Wed, May 20, 2009 at 05:03:31AM +0700, antivir88@mail.ru wrote: > А вот с SUID и SGID дверями ломать голову наверно долго придётся, > помойму почемуто кажется что проще в указаных в прошлом письме > (в атаче suid_sgid_door.txt) выключить вообще эти биты, а при наступлении > некоторых граблей делать вывод о возврате какой-либо программе этих битов.. Надо сначала почитать документацию о том как работает SUID и SGID, дать по морде тому идиоту который вам сказал что "SGID/SUID это всегда плохо", а также подумать о том что квалификация мантейнеров в команде в плане безопасности весьма немаленькая. И во многих случаях отключение того же SGID приведет к множеству проблем, и, возможно, даже к появлению security проблем. SUID/SGID если owner/group _не_ root, обычно является важным и разумным. А SUID root на небольшом количестве приложений, где это действительно необходимо. -- С уважением, Денис http://freesource.info ---------------------------------------------------------------------------- [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 197 bytes --] ^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2009-05-26 19:29 UTC | newest] Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2009-05-17 19:39 [Sysadmins] SUID SGID and NO_CREATER door in linux system antivir88 2009-05-18 7:49 ` antivir88 2009-05-21 21:11 ` Денис Смирнов 2009-05-26 18:27 ` [Sysadmins] [JT] " Michael Shigorin 2009-05-26 18:46 ` George V. Kouryachy 2009-05-26 19:29 ` Michael Shigorin 2009-05-18 10:49 ` [Sysadmins] " Mykola S. Grechukh 2009-05-19 18:02 ` George V. Kouryachy 2009-05-19 22:03 ` antivir88 2009-05-20 5:58 ` Andrew Avramenko 2009-05-20 19:52 ` George V. Kouryachy 2009-05-22 22:29 ` Денис Смирнов
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git