chmod a pristup k portu pres ioperm()
Ing. Pavel PaJaSoft Janousek
janousek na fonet.cz
Čtvrtek Září 26 12:52:40 CEST 2002
Vaclav Peroutka wrote:
> Pak by to bylo neco jineho. Ja mel dosud za to (ostatne, nikdy jsem
> nemel potrebu to pouzit), ze chmod u+s znamena, ze program muze spustit
> vlastnik souboru a soubor se bude chovat, jakoby ho spustil root.
>
> Coz ovsem nevypada jedno a to stejne.
>
> Aha, takze pokud mate pravdu, tak tohle doma hned zkusim chown a pak
> chmod u+s. Jinymi slovy, v mem chapani by ty programy musel admin
> klonovat a pokazde s jinym vlastnikem, coz je asi zbytecne komplikovane.
> A vysvetluje to i pouziti u+s a pak ten program nespustil ani root -
> protoze vlastnik jsem byl ja.
Domnivam se, ze jste presne zamenil (a ja si toho puvodne nevsiml)
vyznam tohoto SUID bitu v pravech.
Ten u+s znamena presne toliko, ze program bude __spusten__ kymkoli, kdo
ma k tomu opravneni, ale ze jeho pravomoce v systemu budou na presne (a
IHMO ani ne vyssi, byt uzivatel, ktery provadi execute muze mit vyssi
prava v urcitych ohledech - nemam po ruce Stevensona, abych se podival
na presny algoritmus rozhodovani o opravneni urcite operace zejmena nad
soubory) takove urovni jako ma vlastnik souboru.
Vyuziti je zpravidla dvoji:
a) muj program cte soubory, ktere mam pravo cist jen ja. Program je
treba CGI skript a je tedy spusten s pravy WWW serveru. Pokud tomuto
programu dam u+s, mam po problemu
b) program potrebuje pracovat se soubory pomoci sve vnitrni inteligence.
Bohuzel tyto soubory muze zpracovavat jen root, tudiz cesta je nasledujici:
- soubor bude vlastnit root
- vsichni ho mohou spustit
- soubor ma SUID bit
A tak kazdy, kdo ma opravneni program spustit umozni programu, aby cetl
soubory, na ktere se normalne dostane pouze root - proc taky je nejvice
atakovana jakakoli root SUID binarka?:-)
Myslim, ze dalsi podrobnosti naleznete v jakekoli knize UNIXoveho
administratora...
-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft) FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz Tel.: +420 5 4324 4749
SMS: mailto:P.Janousek na SMS.Paegas.Cz Fax.: +420 5 4324 4751
WWW: http://WWW.FoNet.Cz/ E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------
Další informace o konferenci Linux