non-root

[Jacek Konieczny]

On Mon, Jul 16, 2001 at 04:36:07PM +0200, Blues wrote:
> Wiele demonow chodzi u nas na uzytkowniku root, pomimo iz tego w zasadzie
> nie potrzebuja. Tak od razu przychodza mi do glowy syslog czy tez arpd. O
> ile ten drugi bezkarnie mozna przeniesc na innego uzytkownika to drugi
> potrzebuje root'a (w zasadzie jedno capability) tylko do polaczen
> sieciowych.
A syslog jak stworzy swoje sockety w /dev?

> Propozycja jest taka, zeby przenosic z root'a demony, ktore tego nie
> wymagaja wcale (np. arpd) i wszystkie niech chodza na jednym uzytkowniku

> (czy to dobry pomysl?).
Nie najlepszy. Włam przez jednego z nich powoduje narażenie plików
wszystkich. IMHO wszystko co nie ma własnych plików/katalogów/praw może
chodzić jako nobody, ale jak już coś np. trzyma własną bazę, to już
powinno mieć własnego użytkownika. Tak żeby "nobody" nie był
właścicielem żadnego pliku i nie miał nigdzie praw zapisu i nadmiernych
praw odczytu. No, w przypadku takiego /tmp to trudno zrobić :-)

> Niech sie on nazywa non-root (uid=40 jest wolne na przyklad).
Po co nowy user, skoro jest nobody?

> Dla tych,
> ktore wymagaja jakiegos capability nalezaloby dawac oddzielny uid.  > Ale te
> demony, ktore chca jednego capability niech chodza na 1 uid.
To rozszerzenie tego co napisałem wyżej.

> Wymaga to jednak wprowadzenia poprawek w jajku.
Wolałbym tego uniknąć. Dobrze by było gdyby jednak większość naszych
pakietów działała także na "normalnym" kernelu, mimo że np. ja takiego
nie uznaję.

> Dodatkowo _teraz_ mozna stworzyc syslog'a, ktory nie chodzi na roocie, ale
> bez mozliwosci logowania sieciowego. W wiekszosci wypadkow jest to
> wystarczajace, a troche bezpieczniejsze.
Ale syslog czytający z sieci też jest bardzo potrzebny.
No i jak z uprawnieniami do logów? Gdy syslog chodzi jako root mogę nimi
manipulować do woli, np. pozwalając niektórym userom czy analizatorom
logów dostęp do niektórych logów.

Pozdrowienia,
	Jacek