Nechutny HACKER
Leos Bitto
bitto na atrey.karlin.mff.cuni.cz
Čtvrtek Listopad 20 18:12:24 CET 1997
On Thu, 20 Nov 1997, Petr Snajdr wrote:
> Leos Bitto wrote:
>
> > Na RedHatu to odhali prikaz "rpm -Vf /usr/sbin/inetd". Vim ze ted nekdo
> > muze namitnout ze tak hacker teda zmeni md5sum i v databazi rpm, ale
> > tak se da argumentovat donekonecna. Nekdo prijde s napadem a nekdo jiny
> > rekne ze kdyz ma hacker uid 0 ze se tomu muze vyhnout. To je pravda, ale
> > v situaci kdy ma hacker uid 0 stejne nezbyva nez doufat ze udela chybu.
>
> Mozna hrisna myslenka, ale proc tedy root nezrusit resp. ho nepouzivat
> nebo pouzivat ho pouze tam kde to nelze jinak - napr. pro login (nebo
> proste zmenu uid apod.):))?
Ano, a zda se mi ze vetsina programu se o to snazi.
> Jak udelat treba to,a by porty 0-1024 mohl otevrit sice jeden, ale
> neroot uzivatel nebo v konfiguracnim souboru definovany uzivatel
> ( s nastavenym bitem proti prepisu).
Ano, zajimava myslenka. Nejste prvni kdo s ni prisel. Zkuste sockfs, je to
patch do jadra, ktery 16. 9. 1997 poslal Malcolm Beattie
<mbeattie na sable.ox..ac.uk> do newsove skupiny linux.dev.kernel. Dnes to uz
pravdepodobne v zadnych archivech nebude, takze pokud ma nekdo zajem tak
mu to poslu mailem (12 kb). Cituji z komentare: "Here's sockfs, a little
pseudo-filesystem that lets you set the owner/group/permissions for
reserved ports just by using chown/chgrp/chmod and ls."
> Napriklad, aby sendmail bezel s pravy uzivatele sendmail a jedina prava
> pro zapis ktera mel by bylo zapisovat na pouze na mista kam zapisovat
> musi a ne jinam?
Ale vzdyt sendmail skoutecne rootovska prava pouziva jen kdyz potrebuje
(aspon se o to snazi). Jindy bezi s pravy ktere mu urcite pomoci
"O DefaultUser=" v sendmail.cf.
> Myslim , ze mi nekdo rikal, ze toho nejak dosahnout jde (Yenya ?) ne ze
> by mi vadilo, ze spravce je vsemocny, ale nemyslim si, ze kvuli nekterym
> vecem je nutne mit takovou "neomezenost". Napriklad pro vytvareni
> uzivatelu ...
Tady, stejne jako u tech portu 1-1024, se narazi na problem s
kompatibilitou. Pokud vim tak Linux se snazi drzet POSIXu (a myslim si
ze to je dobre), ale zruseni "vsemohouciho roota" by rozhodne POSIX
kompatibilitu dost narusilo.
Leos Bitto
Další informace o konferenci Linux