Zniceni Boha :-) [was Re: Utajena modifikace souboru]
Pavel Machek
pavel na suse.cz
Neděle Leden 9 14:18:32 CET 2000
Ahoj!
> >> > Neni mi zcela jasne kolik uzivatelu spravcu by muselo byt aby to bylo opravdu
> >> > bezpecne ? Dva, deset ?
> >>
> >> Myslim, ze to nebude dane poctem administratoru :-)
> >> Zkuste se podivat kolik aplikaci ve vasem systemu bezi jako root
> >> a kolik jich to opravdu potrebuje a zejmena proc.
> >
> >Na mirne zmenseni mnoziny setuid programu se daji jednoduse pouzit
> >elfove capability, viz
> >http://atrey.karlin.mff.cuni.cz/~pavel/elfcap.html.
>
> Mne pripada, ze nektere capability nemaji vubec zadny smysl:
>
> Kdyz cracker ziska SYS_RAWIO, tak bude moct pristoupit na port disku a
> zapisovat, kam bude chtit.
> Pomoci SYS_ADMIN si muze namountovat pres loopback nebo nfs
> filesystem, na kterem jsou suid programy.
> Pomoci SYS_KILL a NET_BIND_SERVICE muze zabit inetd, tvarit se jako on
> a pockat, az se naloguje root.
> SYS_PTRACE umozni hrabat do procesu login a dozvedet se heslo.
> NET_RAW umozni nejen videt, ale i modifikovat veskery tcp/ip provoz -
> moznost menit downloadovane soubory apod.
> SYS_MODULE umoznuje nacpat libovolny kod do kernelu.
> Pri SYS_CHROOT staci udelat hardlink na nejaky suid program, pote
> udelat chroot a program pustit tak, ze se slinkuje s uzivatelem
> pripravenou knihovnou.
> atd..
>
> Je tam par capabilit, co jsou uzitecne (treba SYS_NICE nebo SYS_TIME),
> ale spousta jich zadne zvyseni bezpecnosti neprinese.
Trick je nasledujici:
mas X server ktery ma SYS_RAWIO a nema filesystemove capability.
A ted, kdyz je v nem chyba (uz tam takova byla) diky ktere se pokusi
projit symlinkem a prepsat /etc/shadow, tak se mu to nepovede --
presne proto ze nema filesystemove capability. Takze to dava
smysl. (To co rikas by byla pravda kdyby vsechny bezpecnostni problemy
byly typu buffer overrun. Ale oni nejsou. Pred /tmp racy v X serveru
to chrani dost dobre.)
Pavel
--
I'm pavel na ucw.cz. "In my country we have almost anarchy and I don't care."
Panos Katsaloulis describing me w.r.t. patents me at discuss na linmodems.org
Další informace o konferenci Linux