User postgres

[Wojtek Slusarczyk]

On Sat, 16 Jan 1999, [ISO-8859-2] Tomasz K³oczko wrote:

> Wojtek ale sam siê zastanów czy z tego cofniêcia uprawnieñ cokolwiek
> wynika ?
> Typowy do¶wiadczony hacker nawet nie zadaje sobie trudu rozpoznawaniem
> systemu. Nie bedzie siê przejmowa³ tym czy na binarkach jest 755 czy 711 i
> czy widzi niektóre pliki konfiguracyjne czy nie.
> Taki po wej¶ciu (a je¿eli ju¿ mu siê uda³o wej¶æ jako¶ to tym bardziej
> security by obscurity ju¿ wida, ¿e nie ma sensu) zasysa plik którego
> spreparowany w ten sposób ¿e jest to po³±czone w jeden kawa³ek skrypt i
> spakowane archiwum. Po zrobieniu "chmod +x <wytrych>" uruchamia to co
> ¶ci±gn±³, a pocz±tkowy krypt odcina pocz±tek i rozpakowuje resztê w np.
> /tmp i uruchamia wszystko co tam bêdzie jak leci.

"Dziad swoje baba swoje..." ;)

Tak.. wszystko ladnie pieknie.. tylko najpierw musi dostac tego
shella rootowskiego ... Z tego co wyzej napisane wnioskuje, ze zakladasz z
gory, ze bada z PLD jechali `jak z baranami na sped' i nie ma sensu sie
trudzic bo i tak shackuja i tak .... Jezeli nawet domorosly roothsellowiec
przybedzie z zabawkami z http://www.rootshell.com i walnie ze wszystkiego
co ma to wieksze szanse ze pojawi mu sie na konsolli ~# ma na stable ...
tak o jakies 90 % (bez przesady) jak na Tornadzie ... Zauwaz ze
wiekszosc dziur jest w binarkach z Suidami -- co przy polityce prowadzonej
na develu szanse maleja do minimum ... nawet jak masz "S"-ki u nas sa to
max 4710 (root.icmp ; root.lp itp ...) Jezeli nawet bedzie dziura w
binarce to nie majac do niej dostepu nie jest w stanie jej wykorzystac ...
 

Dalej mowisz 711 na binarkach -- to dlaczego w takim razie sam dajesz 
4711 .. a nie 4755 ? Dalej na co prawo do odczytu userom binarek ? Do
czego to potrzebne ? Do czego uzytkownikom prawa do czytania w plikach 
konfiguracyjnych (PAM, init-skrypty itp ...) ? 
 
> Je¿eli chcesz przestraszyæ dzieciarnie ktra zagl±da na rootshell to nie
> têdy droga, bo baæ siê je±zeli juz trzeba tych co ju¿ dzieciarni± nie s±,
> co potrafi± skutecznie maskowaæ swoje dzia³ania i wchodz±c maj± konkretny
> cel, a nie tylko "obszczanie" hosta.

Nie o to chodzi ze ja sie boje i dlatego daje 711 na binarkach, czy 640 na
plikach systemowych, ale dlatego ze nie ma sensu dawac praw do czytania
skoro one sa zbedne ...

> Poprostu taki fachura (jeszcze raz) wogóle nawet nie bêdzie traci³ czasu
> na rozpoznanie systemu. Poprostu walnie z wszystkich rurek, a która¶ jak
> zrobi dziurkê to za pomoc± dalszej czê¶ci tego co mia³ w ¶ciagniêtym
> archiwum posprz±ta ca³y ba³agan tak, ¿e nic nie zauwa¿ysz.

Qzwa ... jak przyjdzie fachura z zabawka o ktorej nic nikomu nie wiadomo,
to klapa (ale nikt i nic temu nie zaradzi), jak natomisat przyjdzie buraq
z "bombonierka-rootshell.c" to jest juz wyscig z czasem -- czy ja pierwszy
sciagne late czy on wysadzi hosta ... przy czym jak nie maq dostepy do
czesci binarek to tez moze miec problemy z odpaleniem bombonierki ...  

> Wojtej .. W³adywostok czy jeszcze dalej, wheel czy inna grupa. To czy +s
> jest czy nie to nie ma nic do rzeczy w momencie kiedy w tym co pozostawisz
> jest choæ jedna dziura. Poprostu to co powzio³e¶ sobie za cel jest tak
> szilne jak najs³±bszy element tego co próbujesz broniæ. To, ¿e mury bêd±
> na 100m nie robi nic skoro w jednym miejsu bedzie dziura przez któr± wozem
> bêdzie moz±na przejechaæ.

Czy zagladales moze ostatnio do devela ? Czy widziales tam jakies
stare/dziurawe pkaiety ? Czy ktos oprocz devela w takim tempie upgraduje
soft (RH, Debian, Suse ) ? Czy sugerujesz mi, za mamy jakies dziury ?
Moze i sa ale chyba o nich nikt poza grupa kilku osob nie wie ...  

> Co do developmentu, to obecnie budujemy pakiety z nie roota. Po co wiêc
> ograniczaæ t± strefê sztucznie ?

Ja wszystko buduje z nie-roota ... nie jestem w grupie root, i nie mam
zadnych problemow z praca ...

> I jeszcze raz .. wa¿ne jest to aby to co robimy mia³o jak najmniej dziur,
> a nie ¿eby gro¼nie wygl±da³o.

Zatem pokaz mi gdzie mam dziury na develu a ja je szybko usune...

na gazie,
--
Wojtek Slusarczyk (091)4494148
Technical University of Szczecin
PGP KeyServer pgpkeys.mit.edu