manifest (byly 4 punkty)

Blues blues w ds6.pg.gda.pl
Śro, 24 Kwi 2002, 19:39:53 CEST 

On Wed, 24 Apr 2002, Jacek Konieczny wrote:
> > - likwidacja demonów zbędnie działających na UID=0. np. crony, syslogi...
> Jak wyobrażasz sobie crona odpalonego z UID<>0?
> No chyba że u Ciebie wszystkie zadanie wykonywane z crona mogą być 
> wykonane z uprawnieniami nobody, czy inne daemon?

No - bardziej mi akurat przy cronie chodziło o to żeby nie było SUID 
root'a, bo tego da się pozbyć raczej...

Co do syslog'a... potrzebuje on tylko odpowiedniego capability tylko do 
otwarcia połączenia sieciowego. No i dostępu do logów....

> Trzeba też się zastanowić nad innymi ograniczeniami które takie
> zabezpieczenie powoduje. Niedługo ktoś wpadnie na pomysł, np. żeby
> wszystko ładować do chroot, wtedy dopiero będzie ciężko PLD uzywać.

W paranoje to nie popadajmy...
Co daje konkretne "profity" i nie wprowadza jakichś problemów to można 
zrobić.

> > - przerzucenie tych demonów, które się da na usera daemon - po to on 
> > przecież jest...
> Czy ja wiem. Radziłbym to sprawdzić. U nas w PLD jest wiele grup, które
> się zostały ze "starych" UNIXów, a służą do czegoś zupełnie innego, albo
> nowe grupy są stworzone to celów, do których od dawna służyła inna
> grupa.

Prawda.

> Kolejna sprawa, jeśli te różne demony będą miały jakieś swoje pliki, 
> to uruchamianie ich z tym samym UID jest średnim zabezpieczeniem.
> Oczywiście w większosci przypadków to lepsze niż gdyby ta usługa miała
> działać z uid=0

No właśnie. Jest to lepsze niż UID=0. Mając do wyboru...
Otóż nobody - tam gdzie nie jest potrzebne jakieś specjalne uprawnienia 
(katalog/plik/device) i nie jest właścicielem żadnych plików.
daemon - kiedy tworzy pliki swoje i/lub potrzebuje dostępu do jakiegoś 
pliku/device'u. Za przykład może tu posłużyć arpd - potrzebuje tylko 
dostępu do /dev/arpd. Nobody to średni wybór, bo on nie powinien być 
właścicielem niczego, ale już daemon nie jest zły IMHO. Natomiast 
tworzenie nowych userów jest tu chore.

-- 
---------------------------------
pozdr.  Paweł Gołaszewski        
---------------------------------
CPU not found - software emulation...

Więcej informacji o liście dyskusyjnej pld-devel-pl