grzegorz: iputils.spec, squid.spec
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Wto, 6 Lis 2001, 13:45:33 CET
On Sun, 4 Nov 2001, Grzegorz 'Dzikus' Sterniczuk wrote:
> On Sun, 4 Nov 2001 09:21:49 +0100, you wrote:
> >Ale to wcale nie znaczy, że 'P' w PLD należy łączyć ze słowem paranoja.
> >Jeśli chcesz odziwniać swój system - śmiało. Ale nie udziwniaj całej
> >dystrybucji...
>
> Okej ale czy to jest udziwnienie? To tylko zabranie userom możliwości
> czytania s[ug]id'owanych binarek, których i tak według założeń dystrybucji
> nie mogą wykonywać, w czym to przeszkadza poza rpm -V, którego zwykły user
> imho i tak nie musi mieć prawa wykonywania na squid'zie czy iputils'ach?
Tak to jest udziwnienienie ponioważ dokładnie niczemu użytecznemu
zabieranie tu uprawnień nie służy. na podstawie fdługości pliku i mtime
ejstem w stanie dość z jakiego pakeitu to pochodzi. Biorę pakiet z
ftp.pld.org.pl i za pomocą juz np. mc czytam zawartość binarki mającej
suid/sgid .. i jednocześnie ta informacja dalej nic nie zmienia.
Jak już to zostało zauważone to co Ci pociąga ma paranoiczne podłoże.
Paranoję się leczy (to jest regularna jednostka chorobowa).
To co proponujesz jest znane od dziesiątek lat i nazywane jest "Security
by Obscurity" (SbO) i de facto pzred niczym nie chroni. Przed skutkami
włamań chroni tylko brak eksploatowalnych dziur w systemie i lepiej żebyś
na tym sie skupiał. Przy braku takowych nawet posadzenie wielu usług na
maszyce z dostępem shellowym nie jest niczym goroźnym.
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl