SPECS: freevo.spec (NEW) - just to remember, totally unfinished

Tomasz Pala gotar w polanet.pl
Śro, 1 Wrz 2004, 09:48:39 CEST


On Mon, Aug 30, 2004 at 22:32:56 +0200, Jakub Bogusz wrote:

> > +%attr(777,root,root) %dir %{_cachedir}/xmltv/logos
> 
> A co to za dziury?

To jeszcze kilka ciekawostek:

1. /var/log - niby w porządku? Dopóki ktoś nie zrobi cd archiv: 644 *
Wystarczy klient że dogeneruje logów wybranej usługi i już ma bieżące.

2. /etc/mail/* (postfix) - na pewno chcemy zdradzać każdemu metody
autentyfikacji, listę aliasów, kont upoważnionych do korzystania etc?

3. /etc/pam.d/{cron,other,screen,system-auth} - wyróżniają się o+r,

4. nie po to mamy restricted proc, żeby tu było o+r na:
/var/run/{crond,httpd,nmbd,proftpd,smbd,sshd}.pid (vixie-cron, apache)
/etc/sysctl.conf

5. myślałem jeszcze o:

/etc/{ethers,iproute2/*,sysconfig/{static-{arp,routes},network,interfaces/*}}

gdyż:

$ /sbin/arp -na
/proc/net/arp: Permission denied
$ /sbin/route
/proc/net/route: Permission denied
INET (IPv4) not configured in this system.

Ale:
$ /sbin/ip [nra] l

pokazuje te informacje zwykłemu użyszkodnikowi (skąd je bieże?).

Za to:

/etc/sysconfig/static-nat

ujawnia informacje - iptables nie jest dostępne dla usera.

-- 
GoTaR <priv0.onet.pl->gotar>
http://vfmg.sourceforge.net/




Więcej informacji o liście dyskusyjnej pld-devel-pl