chmod a pristup k portu pres ioperm()

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Čtvrtek Září 26 12:52:40 CEST 2002 

Vaclav Peroutka wrote:
> Pak by to bylo neco jineho. Ja mel dosud za to (ostatne, nikdy jsem 
> nemel potrebu to pouzit), ze chmod u+s znamena, ze program muze spustit 
> vlastnik souboru a soubor se bude chovat, jakoby ho spustil root.
> 
> Coz ovsem nevypada jedno a to stejne.
> 
> Aha, takze pokud mate pravdu, tak tohle doma hned zkusim chown a pak 
> chmod u+s. Jinymi slovy, v mem chapani by ty programy musel admin 
> klonovat a pokazde s jinym vlastnikem, coz je asi zbytecne komplikovane. 
> A vysvetluje to i pouziti u+s a pak ten program nespustil ani root - 
> protoze vlastnik jsem byl ja.

	Domnivam se, ze jste presne zamenil (a ja si toho puvodne nevsiml) 
vyznam tohoto SUID bitu v pravech.

	Ten u+s znamena presne toliko, ze program bude __spusten__ kymkoli, kdo 
ma k tomu opravneni, ale ze jeho pravomoce v systemu budou na presne (a 
IHMO ani ne vyssi, byt uzivatel, ktery provadi execute muze mit vyssi 
prava v urcitych ohledech - nemam po ruce Stevensona, abych se podival 
na presny algoritmus rozhodovani o opravneni urcite operace zejmena nad 
soubory) takove urovni jako ma vlastnik souboru.

	Vyuziti je zpravidla dvoji:

a) muj program cte soubory, ktere mam pravo cist jen ja. Program je 
treba CGI skript a je tedy spusten s pravy WWW serveru. Pokud tomuto 
programu dam u+s, mam po problemu

b) program potrebuje pracovat se soubory pomoci sve vnitrni inteligence. 
Bohuzel tyto soubory muze zpracovavat jen root, tudiz cesta je nasledujici:
	- soubor bude vlastnit root
	- vsichni ho mohou spustit
	- soubor ma SUID bit

A tak kazdy, kdo ma opravneni program spustit umozni programu, aby cetl 
soubory, na ktere se normalne dostane pouze root - proc taky je nejvice 
atakovana jakakoli root SUID binarka?:-)

	Myslim, ze dalsi podrobnosti naleznete v jakekoli knize UNIXoveho 
administratora...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux