kloczek: SPECS sendmail.spec

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Śro, 9 Sty 2002, 23:29:08 CET


On Mon, 7 Jan 2002, Jarosław Kamper wrote:

> On Mon, Jan 07, 2002 at 12:13:39PM +0100, Tomasz Kłoczko wrote:
> > On Sun, 6 Jan 2002, Jarosław Kamper wrote:
> > 
> > > On Sun, Jan 06, 2002 at 02:08:29PM +0100, PLD CVS wrote:
> > > > Module name:	SPECS
> > > > Changes by:	kloczek	02/01/06 14:08:28
> > > > 
> > > > Modified files:
> > > > 	.              : sendmail.spec 
> > > > 
> > > > Log message:
> > > > - release 3.
> > > 
> > > Czy to to będzie kiedyś biegało u nas z usera != root ?
> > 
> > A musi ?
> 
> Dopóki nikt Ci nie przejmie sendmaila to nie ;)

Wczoraj przeglądając libcap wpadłem na pewiemn pomysł. Otóż pakiecie tym
jest programik o nazwie sucap. Podobne jest to do su w działaniu tylko
napiasne tak mało bezpieczne ze nie zalecane jest dawanie na to suid root.
Otóż działa to tak że uruchamia proces z konkretnym uid i z
wyspecyyfikowanym zbiorem CAP. W sumie dla wszystkich apliakcji które
poodczepiają się pod porty <= 1024 potrzebne jest CAP_NET_BIND_SERVICE a
nie uid=0. Zamiast modyfikować kolejne parogramy po to żeby came
wykonywały tego typu sztuczki IMHO bardziej efektywne i jednoczesnie
zgodne z duchem Unices byłoby użycie tak zmodyfikowanego su. Jednoczesnie
su z shadow ma pewne cechy sudo (odeślę tu do suauth(5)) i po roszerzeniu
funkcjonalności su przykłądowo w /etc/suauth możnaby dawać np. bezhasłowe
przejścia na z konta na konto z wyspecyfikowanym zestawem CAP. Nie wiem
jak dokłądnie działa pam_cap (jezeli ktoś tego używał i mógłby coś o tym
powiedzieć to byłbym wdzięczny) i czy przypadkiem nie załatwia to tu też
czegoś podobnego do powyższej modyfikacji su ale tak czy inaczje takie su
z możliwością operowanai na CAP byłoby dość cenne i po wypuszczeniu
poprawionej wersji shadow 4.0.2 w niedziele na pewno zajmę się ostrzejszym
grzebaniem w su żeby coś takiego dodać.

koments ?

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*



Więcej informacji o liście dyskusyjnej pld-devel-pl