UID 0 a bohove [was Re: Wanted: konference o bezpecnosti Linuxu]
snajdr na pvt.net
snajdr na pvt.net
Pátek Březen 27 09:24:07 CET 1998
> > > > v CD-ROM mechanice se zamkem, soubory /etc/inittab, /etc/rc*.d spolu s
> > > > mnozstvim souboru z etc, bin, sbin atd na CD-ROM, pridana zmena
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Tohle se da obejit s pravy roota bez problemu
> > > > security-level na 1 (napr. v OpenBSD to je). Pak treba staticky
> > > > slinkovane vsechny programy atd. (odstraneni trasovani z jadra, ale v
> > > > tom uz se nevyznam).
> >
> > - co zavedeni modulu do jadra?
> > - co /dev/kmem?
>
> Jak zavedete do jadra modul, kdyz tam na to neni podpora?
<JOKE>Pres /proc/kmem :)</JOKE>
Cetl jsem moc rychle, omlouvam se, moje chyba ( byl to jeden z 1500 dopisu :)))
Nicmene /proc/kmem zustava nebo ne?
>
> Security level 1 by se mel vztahovat prave na veci, jako cteni z /dev/kmem.
>
> V OpenBSD nespustite ani akcelerovany Xserver, kdyz mate security
> level 1 (musi na to byt spec. ovladac).
Neznam OpenBSD. Ma neco takoveho Linux a udelano takto?
> > > > Myslim, ze upravami jadra je mozne dosahnout toho, aby ani root nemohl
> > > > sahat na adresovy prostor ostatnich procesu ...
> >
> > Systemove reseni?
> >
>
> Potrebuje root sahat do adresoveho prostoru programu, ktere
> nepotrebuje ladit?
Tedy reseni je jake?
> > To zni skoro jako predpokladejme, ze v sendmailu
> > nejsou zadne diry :-). Co myslite? Ruku do ohne
> > za to asi neda nikdo :))) a to je program, ktery
> > bezi s root pravy :-(((
>
> A musi? Osobne si to vubec nemyslim. Ikdyz se nemuzete bez sendmailu
> obejit, tak muzete pouzit nejaky snadno zkontrolovatelny jednoduchy
> front end, ktery se spousti z inetd (napr. smap & smapd). Sendmail je
> pak mozne spoustet zcela oddelene od jakehokoliv provozu.
... nebo patchnou jadro tak, aby umoznovala nastaveni prav i na sokety.
(coz uz nekdo udelal a libi se mi to vic) a nebo patchnou ho tak jak
tu nekdo naznacoval.
Nicmene me to porad prijde jako berlicky. Presne tak
jak tu nekdo pouzil prirovnani k te lodi.
> -------------------------------------------------------------------------
> David Rohleder davro na ics.muni.cz
> Institute of Computer Science, Masaryk University
> Brno, Czech Republic
> -------------------------------------------------------------------------
>
S pozdravem
Petr Snajdr
Další informace o konferenci Linux