User postgres
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Sob, 16 Sty 1999, 17:13:24 CET
On Sat, 16 Jan 1999, Wojtek Slusarczyk wrote:
> On Fri, 15 Jan 1999, [ISO-8859-2] Tomasz Kłoczko wrote:
>
> > "Propozycja" Ziemka była no mało poważna (co i zaznaczył :).
> > Wydaje mi się, że powinniśmy jednak odejść od "security by obscurity" więc
> > i ograniczenie czytania bazy rpm-a powinno zniknąć. W końcu obroną
> > właściwą ma być poprawność softu, a utrudnianie rozpoznania wersji softu
> > dla włąściwego włąmywacza wydłuży mu tylko nieco czas potrzebny na
> > osiągnięce tego co chce, a nie zablokuje tegoż.
> > Stąd i 711 na binarkach jak i 600 na bazie rpm-a powinno definitywnie
> > zniknąć. Mówię o stable i dobrze by by gdyby zniknęło to także i dla
> > devela. Uprości to całe zarządzanie specami i ich wersjami dla devel i
> > stable w CVS.
>
> Tutaj raczej "okragly stol" jest potrzebny ;)
>
> Dla Ciebie i innych to jest security by obscurity -- dla mnie cofniecie
> niepotrzebnych uzytkownikom uprawnien ... Poza tym mowilem juz tyle razy
> ze zarowno dla plikow konfiguracyjnych (pamy,siec,rpm,itp itd...) jak i
> ich katalogow jest mozliwosc czytania przez grupe "root"
Wojtek ale sam się zastanów czy z tego cofnięcia uprawnień cokolwiek
wynika ?
Typowy doświadczony hacker nawet nie zadaje sobie trudu rozpoznawaniem
systemu. Nie bedzie się przejmował tym czy na binarkach jest 755 czy 711 i
czy widzi niektóre pliki konfiguracyjne czy nie.
Taki po wejściu (a jeżeli już mu się udało wejść jakoś to tym bardziej
security by obscurity już wida, że nie ma sensu) zasysa plik którego
spreparowany w ten sposób że jest to połączone w jeden kawałek skrypt i
spakowane archiwum. Po zrobieniu "chmod +x <wytrych>" uruchamia to co
ściągnął, a początkowy krypt odcina początek i rozpakowuje resztę w np.
/tmp i uruchamia wszystko co tam będzie jak leci.
Jeżeli chcesz przestraszyć dzieciarnie ktra zagląda na rootshell to nie
tędy droga, bo bać się jeązeli juz trzeba tych co już dzieciarnią nie są,
co potrafią skutecznie maskować swoje działania i wchodząc mają konkretny
cel, a nie tylko "obszczanie" hosta.
Poprostu taki fachura (jeszcze raz) wogóle nawet nie będzie tracił czasu
na rozpoznanie systemu. Poprostu walnie z wszystkich rurek, a któraś jak
zrobi dziurkę to za pomocą dalszej części tego co miał w ściagniętym
archiwum posprząta cały bałagan tak, że nic nie zauważysz.
> -- czyli
> zaufanych administratorow systemu ... Owszem niektorych moze to w oczy
> kolec ze "root" (Jezu co ten wariat wyprawia --> teraz pierwszy lepszy
> user moze shackowac system i wogole dziura jak stad do Wladywostoku !! ;)
> Otoz nic takiego nie ma miejsca, na BSD zdaje sie jest taka grupa wheel
> (ale gid=0) ... na linuxie jest root ... Pozatym sprawa nadmiernych Suidow
> w stable ... jedna "drukarka" ze stable ma wiecej "S"-ek jak cale
> Tornado... co w cale nie oznacza, ze na develu z poziomu usera nie mozna
> pracowac -- wrecz przeciwnie lepiej mi sie pracuje z poziomy uzytkownika
> jak na Red Hat'ach... Jezeli chodzi o rpm i baze dla wszystkich to nie
> zapominajmy ze jestesmy developerami (nie wazne czy przez duze czy male
> "d" ale zawsze jakimis tam jestesmy ..) i w zwiazku z tym 'rpm -q' itp.
> to kazdy z nas po kilkadziesiat razy dziennie wykonuje... a przecietny
> czlowieczek korzystajacy z linuxa jak ze skrzynki pocztowej, maszyny do
> ircowania, "czytnika" newsow itp. nawet moze nie wiedziec co to jest
> rpm... a takich raczej wielu bedzie ...
Wojtej .. Władywostok czy jeszcze dalej, wheel czy inna grupa. To czy +s
jest czy nie to nie ma nic do rzeczy w momencie kiedy w tym co pozostawisz
jest choć jedna dziura. Poprostu to co powziołeś sobie za cel jest tak
szilne jak najsłąbszy element tego co próbujesz bronić. To, że mury będą
na 100m nie robi nic skoro w jednym miejsu bedzie dziura przez którą wozem
będzie moząna przejechać.
Co do developmentu, to obecnie budujemy pakiety z nie roota. Po co więc
ograniczać tą strefę sztucznie ?
I jeszcze raz .. ważne jest to aby to co robimy miało jak najmniej dziur,
a nie żeby groźnie wyglądało.
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl