Historia pewnego suid root .. i pierwszy pomysł na finał opowiadania

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Wto, 23 Lut 1999, 00:39:51 CET 

On Mon, 22 Feb 1999, Grzegorz Stanislawski wrote:

> On Mon, 22 Feb 1999, Tomasz Kłoczko wrote:
> 
> > 
> > Za górami za lasami .. za wielką wodą ktoś zrobił pakiet z pppd. Pakiet
> > czasu okazywało się że nijak skożystać z PPP nie mozna było gdyz jakimś
> > "cudem" nagle podczas upgradeu (np. automatycznbego vi autorpm) znikał
> > nagle suid root z /usr/sbin/pppd :>
> > 
> > Może ktoś widzi jakiś inny sensowny koniec tej historyjki ?
> > 
>  Ja znam. 
>  Trzeba sobie po prostu dac siana z bezmyslnym tepieniem suidow.
>  (Patrz takze poprzedni post na liscie) 

Czyli co .. szugerujesz, żeby pppd miało suid w dystrybucyjnym pakiecie ?

Hmm .. zastanówmy się ..
Jak się nad tym zastanowić tak jeszcze mocniej to sprawa wygląda tak, że
nadmiar suidów jest niebezpieczny przedewszystkim "od wewnątra" czyli na
hostach dostępowych. Z drugiej strony ów suid jest potrzebny właśnie na
tego typu jednostkach i tu przeszedł w zasadzie pomyślnie test co do tego
czy jest to bezpieczne. Tak czy inaczej w sytuacji kiedy ktoś znajdzie tu
dziurkę to niezależnie od tego czy suid będzie w dist pakiecie czy nie to
na pewien okares sytuacja na serwerach dostępowych z PPP będzie kiepska i
my forma pakietu i modelem uprawnień nie miożemy w tym momencie wpłynąć na
minimalizację skutków takiego zajścia.

A patrząc jeszcze na to wszystko od strony obecnej RH formy pakietu ppp to
brak tego suida ładnie dezorganizuje pracę PPPdajni w sytuacji kiedy
upgrade zostanie wykonany automatycznie lub przy ręcznym upgrade gdy admin
zapomni wykonac korektę (z tego co słyszę także od innych znajomych to
jest to nagminne :>.

Tak czy inaczej chyba nie widzę rzeczywiście powodów do zaaplikowania
jednego suida ięcej.

Wojtek (jako główny suid łorior) i inni .. co o tym sądzicie ?
A jak wygląda sprawa tego suida choćby w Debianie, DLD czy SuSe ?

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*

Więcej informacji o liście dyskusyjnej pld-devel-pl