manifest (byly 4 punkty)

Jacek Konieczny jajcus w pld.org.pl
Śro, 24 Kwi 2002, 15:24:19 CEST


On Wed, Apr 24, 2002 at 11:31:38AM +0200, Blues wrote:
> - likwidacja demonów zbędnie działających na UID=0. np. crony, syslogi...
Jak wyobrażasz sobie crona odpalonego z UID<>0?
No chyba że u Ciebie wszystkie zadanie wykonywane z crona mogą być 
wykonane z uprawnieniami nobody, czy inne daemon?

Trzeba też się zastanowić nad innymi ograniczeniami które takie
zabezpieczenie powoduje. Niedługo ktoś wpadnie na pomysł, np. żeby
wszystko ładować do chroot, wtedy dopiero będzie ciężko PLD uzywać.

> - przerzucenie tych demonów, które się da na usera daemon - po to on 
> przecież jest...
Czy ja wiem. Radziłbym to sprawdzić. U nas w PLD jest wiele grup, które
się zostały ze "starych" UNIXów, a służą do czegoś zupełnie innego, albo
nowe grupy są stworzone to celów, do których od dawna służyła inna
grupa.
Np. kiedyś, zdaje się że w różnych UNIXach, /dev/ttyS* oraz /var/lock 
miały gid=uucp i to była grupa do której przynależność pozwalała na
kożystanie z portów szeregowych. Oprócz programów UUCP taki np. minicom
miał sgid uucp, a teraz u nas jest jakaś grypa ttys, nie wiadomo jakie
uprawnienia dać narzędziom UUCP, a minicoma z usera odpalic się nie
da...

Kolejna sprawa, jeśli te różne demony będą miały jakieś swoje pliki, 
to uruchamianie ich z tym samym UID jest średnim zabezpieczeniem.
Oczywiście w większosci przypadków to lepsze niż gdyby ta usługa miała
działać z uid=0

Pozdrowienia,
        Jacek 



Więcej informacji o liście dyskusyjnej pld-devel-pl