zakazany cron a at...
Zdenek Pytela
letty na mrakoplas.phil.muni.cz
Pondělí Květen 14 09:26:45 CEST 2001
Martin Mačok píše:
> > Myslim, ze by administrator toho stroje mel demony at a cron povolit,
> > protoze jejich zakazanim toho moc neziska.
>
> Odstrani ze systemu dalsi dva rootsuid programy, coz muze byt docela
> prijemne. Pokud okolnosti/uzivatele na systemu nutne crontaby/at
> nepotrebuji, tak je rovnez odstranuji.
To je sice pravda, ale na druhé straně patří přinejmenším cron do
standardní výbavy un*xových systémů, takže pokud stroj slouží jako všeobecný
server, měl by tam cron být, i když není bezprostředně potřeba.
> Pokud je potrebuji, tak:
> -rwsr-x--- 1 root cronu 37764 dub 4 23:00 /usr/bin/at
> -rwsr-x--- 1 root atu 21312 bře 8 21:56 /usr/bin/crontab
>
> A do skupiny cronu resp. atu pridam uzivatele, co potrebuji crontab
> resp. atd. Minuly tyden byla zrovna objevena ve vixie crond portu v
> Debianu (a Progeny) bezpecnostni chyba v crontabu, kterou jde ziskat
> prava roota. Exploit funguje i na SuSE 7.1, pro ktery jsem jeste
> nezaregistroval opravu (Debian uz ji ma), ale mozna jsem se spatne
> dival.
Má tento postup nějakou větší výhodu proti řízení přes /etc/at.deny?
Pomůže aspoň proti zmíněnému exploitu?
--
--Zdeněk Pytela, <letty na mrakoplas.phil.muni.cz>
Další informace o konferenci Linux