utili-linux-suid proctest przeciwko paranoikom

Pią, 5 Lut 1999, 19:44:52 CET

On Fri, 5 Feb 1999, Wojciech Slusarczyk wrote:
[..]
> Dalej nie czepiaj sie mnie o wyodrebnienie 2 maloistotnych binarek
> suidowych bo:

Sam napisaeś "małoistotnych". Jeżeli to słowo powtarzałeś sobie kilka razy
wcześnej w myślach to już tylko to powinno Ciebe ostrzec przed próbą ich
oddzielania.

> 1. Jezeli maszyna ma isc do uzytku domowego to niekonieczne sa te dwie
>    binarki,
> 2. Sam szanowny kolega kazal wyluskac sperla (pakiet perl) i suexec
>    (pakiet apache ) 
> 3. Rozbiliscie kolego takie KDE na tysiace podpakietow, a czepiacie sie
>    mnie ze wyluskalem 2 binarki z konfigiem PAM-owskim ...

Na sperla podałem już argument.
Proponuję inaczej. Jest duży serwer i Kusers. Dalczego admin ma im
ograniczać zmianę shella czy ma się zajmować każdą osobą która będzie
chciała mieć tcsh/ash/ksh/.... ?

Podzia KDE jest funkcjonalny. Util-linux rozmiarami nawet w 2-3 procentach
nie dorasta do KDE. Pakietów było aza mało żeby można było staffem w nim
zawartym optymalnie manipulować

Jedyne _"ryzyko"_ jest takie, że ktoś zmieni sobie dane osobowe na jakieś
bezzsensowne. Tutaj mogę coś dodać z własnej praktyki, że do takich
delikwentów podchodzi się tak, że przegląda sie zmiany w passwd okresowo i
niepoprawnych za pomocą PAM wydziela do grupy ludzi niepoważnych i blokuje
im per osoba zmianę danych.

Z włąsnej praktyki wiem, ze na serwerze na którym jest już kilka set osób
robienie z hosta "bastionu" powoduje wręcz reakcję odwrotną u
użytkowników. Szukają dziury w całym .. i jej nie znajdują, a tylko
często (za często) ich działania podnoszą alarm i zabierają cenny czas.
Poprawne administrowanei polega nie na permamentnym patrzeniu wszystkim
ludziom na ręce tylko na trzymaniu całego hosta na bezpiecznym chodzie, co
wcale nie musi byc tożsame. Wiecej dowiesz sie o dzirach z lektóry listów
na sec listach i śledzc bierzące updatey niż z tego kto i jak często uzywa
pine czy inny program.

Wogóle do chfn/chsh trzeba by dodać jedną linijkę z syslog() żeby do logów
szło kto i na co zmienił, żeby za pomocą choćby watchlog można było
wygodnie takie zmiany dostawać (może zresztą to już jest tylko trzeba to
jakoś włądczyć .. trzeba by przejrzeć źródła; kedyś pomysł czegoś takiego
podsyłałem w kilka miesc w tym i Markowi M.). Ale nadal nie są to rzeczy
które stwarzaja _ryzyko_ destabiliuzacji czy eksploatacji dziury. W
instalacji domowej jest dokładnie tak samo gdyż problematyka domowej
instalacji w poprawnym podejćiu jest tylko podzbiorem tego co sie
rozpatruje w przypadku większych instalacji.

> > Zajmujesz się ostanio (za częśto) PIERDUŁĄMI.
>                                     ^^^^^^^^^^  dokladnie ... 
> Mdli mnie juz od tego gtk/glib aaa-lib libungif, corba, Zorba, Orbit,
> eMusic Gtk-perl, Gtk-srel i innych ale robie dalej ..

Zająłbyś się lepiej wprowadzeniem do CVS wszystkich tych stuffów które juz
są w devel, a które jeszcze do CVS nie zostały wciąnięte. To byłoby o
wiele bardziej pożyteczne, a może przy okazji złapałbyś chwilę relaksu
i odpoczynku.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*