2.2 vs 2.4 -- propozycja
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Pon, 23 Lip 2001, 12:13:05 CEST
On Mon, 23 Jul 2001, Blues wrote:
> On Mon, 23 Jul 2001, Tomasz Kłoczko wrote:
> > > >Janek pomyśl jeszcze chwilę nad tym. Po co Ci LIDS ?
> > > Jankiem nie jestem, ale:
> > > - zdejmowanie zbędnych CAPów (wiem, że można też capselem czy innymi)
> > Jak pojawi sie xfs czy systemy plikowe z ACLami sprawa sie rozwiąże sama i
> > to bez takich wynalazków jak LIDS czy inne tego typu.
>
> Czyli narzucasz wszystkim xfs i ACL'e? Mnie sie nie podobaja ACL'e, bo
> jest chorym troche pomyslem iles-tam bitow uprawnien.
Chodzi o to, że na tych systemach plikowuch i na ext3 także będziesz mógł
zamaist suidów zakładać odpwiednie CAPy na poszczególne binarki. ext2 ma
już policzony czas życia taka samo jak jeszcze niedawno ext i to dokładnie
właśnie z tego powodu. W tym sensie nie jest to żadne narzucanie
czgokolwiek tylko juz całkiem bliska przyszłosć. Czas poświećany na różne
wynalazki zwiżzane z protezami do CAP lepiej poświecić na analize kodu
który potecjalnie jest dziurawy, bo o ile jest tam dzieura to i nawet ACLe
czy ext attr nic tu nie zmienią .. a co więcej zanim jeszcze użyje się
tych wynalazków o ile faktyczna dziurę sie usunie jest sie bezpiecznym (i
to już bez dodatkowych przymiotków).
Chodzi o to że dopiero ext attr i ACLe rozwiazują kwestię obniżenia
uprawnień do niezbędengo minimum ostatecznie. Linus i s-ka wiedzą o tym
dokładnie dlatego ignorowali choćby CAP w nagłówku ELF czy inne
podobne CAP mutacji. Przypuszczalnie dokładnie z tego samego powodu nawet
próba ujednolicenia interfejsu do rozszerzeń takich jak LIDS poprzez
opracowanie interfejsu w kernelu do takich rozwiaaań pozostanie zawsze po
za głownymi źródłami a co najwyżej będzie miała znacznie dla rónych
zespołów ludzi którzy bendą chcieli się bawić w takie rzeczy.
> Fajnym rozwiazaniem tej dziedzinie jest securitate (zreszta - nasz rodzimy
> produkt...)
I co ma takeigo fajnego ? (pytam z ciekawości)
> > > - informowanie admina o dziwnych zachowaniach w systemie (przede
> > > wszystkim próby wykorzystania zdjętych CAPów)
> > I co to daje ? Równie dobrze mozesz logować próby logowanai an roota w
> > sytuacji kiedy tylko konkretne osoby mogą to wykonać.
>
> Daje mi to, ze widze, ze dany user probowal cos kombinowac i jemu sie
> przyjrzec blizej nalezy...
W sytuacji kiedy miałeś dziurkę to już po ptokach (właśnie poprzez taki
log .. który nie wiedzieć czemu nie został usuniety dowiedziałeś się że
coś że dzieurę .. miałeś). W sytuacji kiedy miałeś system w jednym kawałku
takie zdarzenie można zignorować żeby zajać się czymś produktywnym.
.. czysta logika.
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl