Úspěch v případu změny práv k adresáři exportovaném Sambou (sambou to nebylo)

Zdenek Mazanec zdenek.mazanec na contactel.cz
Čtvrtek Leden 15 13:23:57 CET 2004


> Nicmene za tim co jsem napsal si stojim. Ten nastroj sam od sebe meni
> prava (nebo je to alespon jeho default nastaveni). Jak se potvrdilo tady v
> listu, muze toto chovani velmi zmast admina, ktery nejspis necte logy,
> nicmene to se u MDK stejne asi nepredpoklada (*), jinak by tam ten skript
> poslal hlasku ze to a to je spatne a at si to admin upravi.
No, takovy admin neni admin. msec je zminen v kazde dokumentaci k 
mandrake. Ano, ten nastroj meni prava, a to tak, ze velmi, tim vice, cim 
vyssi level ma nastaven. To neni nic divneho.

> Hrozne mi to cele pripada takove windows-like, skripty, ktere nastavuji
> prava ... Stejne to delaji jen na nejake periodicke bazi, takze v pripade
> diry toho, kdo by ji chtel vyuzit, stejne nezastavi, jen si bude muset
> pospisit. Ostatne ta dira v pravech muze vzniknout bud akci admina, ktery
Msec neni nastroj proti pripadnemu vetrelci, je to nastroj na nastaveni 
politiky na danem stroji. Je to nastroj proto, aby si uzivatele navzajem 
nepridelil prava k souborum a pak se divili, ze jim je nekdo smazat 
(trebas potouchly/nastavny kamarad). Periodicky s esposuti prave proto, ze 
resi lokalni veci ovlivnitelne lokalnimi uzivateli v podstate kdykoliv.
Nejaky skript crackera skutecne nezastavi...


> k tomu ma nejaky duvod a pak ho chovani msec pekne s.., nebo po
> instalaci/upgrade nejakeho baliku, pak ale staci jednorazova zmena, o
> ktere jsem psal. Ostatni pripady vyskytu diry se budou velmi pravdepodobne
> dit opakovane, nebo dokonce budou primo dusledkem utocnikovy cinnosti. Pak
> ale msec o nic nezvysi bezpecnost.
Jak jsem naznacil, msec neni obrana proti crackerum. 


> Shutdown byl myslen tak, ze pokud hlidaci skript najde pristupova prava ve
> stavu, do ktereho by se nikdy nemela dostat, tak preventivne vypne masinu
> za ucelem pozdejsi analyzy toho, co se stalo. Nerikam, ze by to melo byt
> default chovani, ale smysl to IMHO dava.
Jen to ne ;-) 



-- 
Zdenek Mazanec, Contactel s.r.o.
http://mandrake.contactel.cz
Silver MandrakeClub Member



Další informace o konferenci Linux