kloczek: SPECS sendmail.spec
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Śro, 9 Sty 2002, 23:29:08 CET
On Mon, 7 Jan 2002, Jarosław Kamper wrote:
> On Mon, Jan 07, 2002 at 12:13:39PM +0100, Tomasz Kłoczko wrote:
> > On Sun, 6 Jan 2002, Jarosław Kamper wrote:
> >
> > > On Sun, Jan 06, 2002 at 02:08:29PM +0100, PLD CVS wrote:
> > > > Module name: SPECS
> > > > Changes by: kloczek 02/01/06 14:08:28
> > > >
> > > > Modified files:
> > > > . : sendmail.spec
> > > >
> > > > Log message:
> > > > - release 3.
> > >
> > > Czy to to będzie kiedyś biegało u nas z usera != root ?
> >
> > A musi ?
>
> Dopóki nikt Ci nie przejmie sendmaila to nie ;)
Wczoraj przeglądając libcap wpadłem na pewiemn pomysł. Otóż pakiecie tym
jest programik o nazwie sucap. Podobne jest to do su w działaniu tylko
napiasne tak mało bezpieczne ze nie zalecane jest dawanie na to suid root.
Otóż działa to tak że uruchamia proces z konkretnym uid i z
wyspecyyfikowanym zbiorem CAP. W sumie dla wszystkich apliakcji które
poodczepiają się pod porty <= 1024 potrzebne jest CAP_NET_BIND_SERVICE a
nie uid=0. Zamiast modyfikować kolejne parogramy po to żeby came
wykonywały tego typu sztuczki IMHO bardziej efektywne i jednoczesnie
zgodne z duchem Unices byłoby użycie tak zmodyfikowanego su. Jednoczesnie
su z shadow ma pewne cechy sudo (odeślę tu do suauth(5)) i po roszerzeniu
funkcjonalności su przykłądowo w /etc/suauth możnaby dawać np. bezhasłowe
przejścia na z konta na konto z wyspecyfikowanym zestawem CAP. Nie wiem
jak dokłądnie działa pam_cap (jezeli ktoś tego używał i mógłby coś o tym
powiedzieć to byłbym wdzięczny) i czy przypadkiem nie załatwia to tu też
czegoś podobnego do powyższej modyfikacji su ale tak czy inaczje takie su
z możliwością operowanai na CAP byłoby dość cenne i po wypuszczeniu
poprawionej wersji shadow 4.0.2 w niedziele na pewno zajmę się ostrzejszym
grzebaniem w su żeby coś takiego dodać.
koments ?
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl