posta

Pavel Kankovsky peak na kerberos.troja.mff.cuni.cz
Pátek Říjen 30 13:40:42 CET 1998 

On Fri, 30 Oct 1998, Jan Satko wrote:

> mam jednu otazku nad ktorou som sa zacal zamyslat.
> lokalny mailer a sendmail maju suid-bit na roota.
> naco mu to je ?

aby si mohli prompt "#" vychutnat i ti uzivatele, co neznaji
rootovo heslo :)

1. sendmail -- sendmail je program, ktery ma moc funkci najednou:
   posloucha na SMTP, funguje jako rozhrani pro lokalni procesy, resi
   opakovane zasilani dopisu ve fronte, provadi lokalni i vzdalene
   dorucovani... setuid potrebuje prave, aby mohl byt spousten coby to
   lokalni rozhrani ruznymi uzivateli, "korenova opravneni" zas potrebuje
   primo k tomu, aby mohl poslouchat na portu 25, secundo k tomu
   lokalnimu dorucovani

   toho setuidu se lze jen tezko zbavit, snad jedine tak, ze by se
   /usr/{lib,sbin}/sendmail nahradil necim, co to bude pres SMTP posilat
   na localhosta

   co se tyce rootovskych prav, tak poslouchani na port 25 lze vyresit
   i jinak (patchnuty kernel, inetd) a lokalni dorucovani take (extra
   setuid programem, nicmene je potreba maly patch, protoze nejaky magor
   pridal do teto casti sendmailu sileny kus kodu prepinajici [ug]idy
   zpusobem, ktery pod ne-rootem dela psi kusy)

2. procmail -- vyuzit ho muze jednak k tomu, aby mohl primo dorucovat
   i jinym uzivatelum, nez pod kterym je spusten, jednak, aby mohl
   provadet stupidni metodu zamykani souboru zvanou dotlocking
   ve /var/spool/mail

   prvni argument nedava moc smysl, protoze jediny vyznam to ma, kdyz
   MTA samo nebezi pod rootem, a pak je stejne mnohem smysluplnejsi, kdyz
   bude procmail volat pres nejaky maly a bezpecny setuid program, misto,
   aby byl cely procmail setuid

   v druhem pripade by mu bohate stacil setgid na skupinu mail nebo
   podobnou, nemluve o tom, ze jak /var/spool/mail, tak dotlocking jsou
   blbosti, ktere je treba vymytit a ne podporovat


v kostce lze rici, ze to muze fungovat i jinak


--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"You can't be truly paranoid unless you're sure they have already got you."

Další informace o konferenci Linux