Grrr... security

[Maciej 'Agaran' Pijanka]

On Tue, 31 Jul 2001, Jan Rekorajski wrote:

> Czułem że tak będzie :(
> 
> [wtorek, 31 lipiec 2001], Paweł Sakowski napisał(a):
> 
> > Jul 31 15:08:29 jupiter kernel: GETREWTED ALERT: denied exec of ./scr by 
> > (bash:1827), UID (500), EUID (500), parent (bash:1506), UID (500), EUID 
> > (500) reason: untrusted
> > 
> > A że mam pod ręką źródło jądra, znajduję winnego (gunzip *;grep REWTED *):  
> > patch grsecurity, który boleśnie ingeruje w wolność człowieka. Nie
> > podobają mu się uprawnienia na moim katalogu i zabrania mi używania
> > własnych programów (dlaczego? co mi (albo komukolwiek) zagraża w ./scr?).
> > Zmiana atrybutów katalogu na 755 załatwiła uruchamianie skryptu. Ale
> > dlaczego nie mogę zrobić ldd /bin/bash? Co komukolwiek (w tym systemowi)
> > zagraża oglądanie plików, do których mam "r" i uruchamianie plików, do
> > których mam "x" (a nie są s[ug]id)?
> 
> Nie podoba mu się go+w (gdziekolwiek po drodze - u ciebie .).
> ldd nie działa bo luser nie ma prawa uruchamiać /lib/ld-* (chodzi o to
> żeby nie mógł obejść fs zamontowanego noexec)
> 
> > Czy ktoś mógłby uzupełnić moją wiedzę dotyczącą w/w domniemanych 
> > zagrożeń? Czy może należałoby wyłączyć kilka opcji GRSEC w konfiguracji 
> > jądra? Bo tak, jak jest chyba być nie powinno.
> 
> No chyba jednak trzeba będzie dać TPE=n ...
khm ldd moznaby i tak blokowac.. to nie powinno produkowac
problemow..ewentualnie jakas grupa ma permited..
(nie wheel)
imvho co do go+w khm to troche sensu ma co prawda nieco paranoi tez ma ale
troche paranoi to zdrowe calkiem
> 
> Janek
> 

-- 
Maciej 'Agaran' Pijanka <agaran w agaran.6bone.pl> MAP2-6BONE
i386, Linux 2.2, Pine, Mutt, Slrn, Vi(m), IPv6, Gdb, 
I do not fear computers.  I fear the lack of them.
                -- Isaac Asimov