Problemy z kernelem

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Czw, 10 Gru 1998, 23:22:34 CET 

On Thu, 10 Dec 1998, Konrad Stepien wrote:

> On Thu, 10 Dec 1998, Tomasz Kłoczko wrote:
> 
> [...]
> > > 
> > > Na razie zmieniłem ustawienia w pliku httpd.conf na:
> > > 	User postgres
> > > 
> > > Czy jest na to jakiś inny sposób?
> > 
> > Wiedomo,,że secure-linux wchodzi z kilkoma rzeczami w konflikt. Postgres
> > jest jedną z takich rzeczy. Zresztą po ostatnich przejściach przestaję
> > wogóle wierzyć w skuteczność takich rzeczy jak patch Solara.
> > 
> No, sam solar twierdzi, że to powinien być tylko dodatek, jak każdy
> tylko zwiększa bezpiekę, ale jej nie gwarantuje.
> A swoją drogą ten twój przypadek to ciekawy. Widać gość wiedział że
> masz solara, albo przynajmniej się domyślał. Ja bym się spodziewał
> raczej jakichś śladów po pierwszej nieudanej próbie i dopiero potem
> bum. No chyba że logi solara wyciął (miałeś chattr-a i securelevel ?)

chattr był ale co z tego .. Pytałem się już jak przestawić securelevel.
echo do proca nie działa (perm den):

Nie wiem co jest, że nie mogę podbić securelevel z ręki (?). W źródłach
stoi (w do_securelevel_strategy() )

                if (level < securelevel && current->pid != 1)
                        return -EPERM;
Czyli przynajmniej podwyszenie powinno być możliwe z ręki.

Czy też innym miejscu w którym jest sprawdzane euid, bo:

#echo "3" > /proc/sys/kernel/securelevel 
bash: /proc/sys/kernel/securelevel: Odmowa dostępu
#id -a
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),47(zmailer)

Konrad, a Ty jak to robisz ?

Niemniej do obniżenia securelevel nie jest przystosowany obecny init czyli
jakby ktoś chciał obciąć logi to nie wystarczy "init 1" tylko restart w
single -> chattr i dopiero cięcie.

> BTW ktoś wie jak się ma skuteczność stack-guarda do solara ?
> Bo można by jednak takie np. suidy i demony kompilować stack-guardem.

IMHO jest taka sama jak secure-linux. Tutaj trzeba czegoś takiego co jest
w ultra sparc, że separacja stosu jest robiona na pozionie proca. Jest to
jedyny znany mi procesor, który ma tego typu ficzer.

Po ostatnich doświadczenaich zaczynam rozumieć to co kiedyć pewien znajomy
mi mówił, że do bezpicznych zastosowań tylko Sun (pracował w wojsku).

Teoria mówi, że każde zabezpieczenie można obejś czyli najlepsza sytuacja
to taka w której nie ma konieczności stosowania zabezpieczeń, które
możnaby obchodzić. Wziąłem sobie powyższe do głowy i np. ostatnio na
maszynach jakimi zarządzam nie ma haseł roota slbo jak kto woli są
nieistotne. Odpada mi sprawa ich piloniwania. Jeżeli ktoś przejmie hasło
roota na moich maszynkach to tylko ma takie złudzenie, że złapał wróbla, a
próba użycia "właściwego" hasła w zasadzie podnosi alarm.

Przy okazji do Wojtka i reszty kerbermanów. Czy można w jakiś sposób
autoryzować użycie niektórych programów jak shaell biletem ? Czy
biblioteki kerberosowe mają takie macki ?

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*

Więcej informacji o liście dyskusyjnej pld-devel-pl