Drop unneeded capabilities (było: Re: bind 8.2.2_P3)
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Pon, 15 Lis 1999, 21:26:45 CET
On Mon, 15 Nov 1999, Pawel Krawczyk wrote:
[..]
> Zrzucanie capów swoją drogą, ale w przypadku takiej kobyły jak BIND to
> niestety nie rozwiąże podstawowego problemu, a mianowicie zagrożenia
> atakami typu buffer overrun. Named w całym okresie działania potrzebuje
> praktycznie wszystkich capów, które umożliwiłyby również działanie
> exploitowi (stworzenie pliku, otwarcie gniazda itp). Jeśli źle piszę,
> to proszę mnie poprawić - mogłem o czymś zapomnieć.
>
> BIND powinien chodzić jako użytkownik `named' i grupa `named' (opcje
> -u named -g named), bo w ten sposób likwidujemy podstawowe zagrożenie,
> tj. możliwość otwarcia zdalnego roota w przypadku wykrycia kolejnych
> błędów w BINDzie. Takie zagrożenie niestety cały czas istnieje,
> szczególnie w świetle błędów poprawionych w P3.
Dobra .. myślę, że potraktowanie teraz tego w ten sposób jaki
proponujesz jest rozsądne. Da to czas na opracoeanie patcha do drop cap.
Potem ten typ zmian wartoby poadaptować na inne usługi.
[..]
> BTW2 można też się zainteresować alternatywami dla BIND - istnieje np.
> taki demon Denst (www.dents.org). Jeszcze go nie testowałem w warunkach
> bojowych (800+ domen), ale niedługo to zrobię.
O właśnie oalternatywę miałem się spytać.
> > Niech mnie ktoś w razie czego poprawi jeżeli coś pomieszałem ale jeżeli
> > dobrze koncypuję to tego typu poprawek może potrzebować jeszcze całkiem
> > spora ilośc innych programów (chodzi o procesy usług żeby po starcie
> > pozbywały się capabilities które nie są im potrzebne). Do tej grupy
> > kwalifikowałyby sie zapewne rózne inet serwisy, a także same inet serwery
> > (po co im możliwość operowania na plikach czy mozliowść wykonywanai chroot
> > czy kilka innych).
>
> Ja bym z tym poczekał, aż capabilities wejdą do ELFa (ustawianie capów
> konkretnym binariom, coś jak chattr). Z tym, że lepiej żeby zaopiniował
> to ktoś kto bardziej się tym tematem interesował.
To raczej prędko nie wejdzie. Prędzej pojawia sie fs-y z możliwością opisu
cap w atrybutach plików. Co prawda to rozwiązanie jest bardziej kłopotliwe
przy archiwizacji ale zdaje się, że takie były wnioski końcowe z dyskusji
na temat cap in ELF.
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl