suid manager
Blues
blues w ds6.pg.gda.pl
Śro, 24 Lip 2002, 17:57:15 CEST
On Wed, 24 Jul 2002, Tomasz Kłoczko wrote:
> > > > w związku z capselem...
> > > > jest może w pld coś w stylu suid managera? albo wogole jakiś inny
> > > > programik który by pilnował ustawionych przez administratora praw, tak
> > > > aby po upgrade systemu ping ciągle był bez suida? ;)
> > > > albo jest wogóle coś takiego przewidziane?
> > > Przykładowo ping ma suid root ale tylko dla grupy adm.
> > > IMHO jest to w zupełności wystarczające.
> > > W takim rozwiązaniu spodziewanie się "ataku" ze strony kogoś zaufanego
> > > trąciłoby paranoją.
> > Ale - dzięki capsel-owi możesz tego suida wogóle nie mieć. Za darmo.
> Ale capsel nie jest tu potrzebny .. chyba że potrafisz wykazać jest
> inaczej :)
no jasne - tylko, że jak z tego nieszczęsnego pinga zdejmiesz suida to
tylko root będzie z niego mógł korzystać.
Natomiast dzięki capsel-owi każdy komu dasz do tego prawa w konfigu może
wykonać ping. I nie jesteś ograniczony grupami, bo możesz dać upgrawnienia
do pinga, ale już np nie do traceroute.
Takie ot zabawy.
> > Poza tym to administrator powinien decydować na jaki stopień paranoi się
> > decyduje. Dlaczego ty chcesz za niego decydować? Niektórzy lubią pingi na
> > firewallach wycinać, i co z tego? Ich prawo.
> Bardzo proszę. To kjego decyzja. niemniej na poziomie dystrybucji
> uprawianie paranicznych zachowań byłoby bliskie innym "odchyłkom" :)
Ale nie należy temu przeszkadzać :)
> > Przydatne suidy, które chętnie bym widział: smbmnt, cdrecord. Dzięki
> > capsel-owi też nie są potrzebne. A jeżeli ktoś go nie ma/nie chce to można
> > dać, ale wtedy właśnie kłania się jakiś suid-manager.
> > I tak można przytaczać w nieskończoność...
> Wiesz że nie jest to kwestia suidów tylko większej gradacji uprawnień
> opartej o CAP_*. Tutaj długodystansowe rozwiązanie co takzę wiesz powinno
> iść w kierunku fcap a nie takich protez jak capsel.
capsel nie jest protezą, ale rozwiązaniem od innej strony. Też dobrym. I
działającym bardzo ładnie.
Poza tym capsel już istnieje i jest możliwy do wykorzystania w tym
momencie. Natomiast fcap nie jest u nas w żaden sposób przygotowany. Poza
tym AFAIK to jest aktualnie tylko na ext2 - co z innymi systemami plików?
Pokaż mi jakikolwiek opis tego... Jakieś implementacje? Cokolwiek?
Wsparcie w rpm-ie? hmm?
--
---------------------------------
pozdr. Paweł Gołaszewski
---------------------------------
CPU not found - software emulation...
Więcej informacji o liście dyskusyjnej pld-devel-pl