shadow

[Tomasz Kłoczko]

On Fri, 10 Jan 2003, Witold Filipczyk wrote:

> W styczniowym Linux+ jest o Owlu, a tam m.in. o shadow.
> W owlu shadow jest katalogiem (/etc/shadow) i każdy user ma
> hasło w oddzielnym pliku.
> To jest niezły pomysł, bo wtedy passwd i inne takie nie musi być suidowane.
> Może by coś takiego do PLD?

Co z narzędziami do NIS/NIS+/LDAP/krb5 które szukają haseł w /etc/shadow ?
Też je poprzerabiasz ?

Wybacz ale zabawa w usuwanie jednego suid root (którego można już prędzej
przerobić na suid shadow) którego podważyć dość ciężko (audyt kodu passwd
był robiony po wielokroć) tylko po to żeby wszystko na około rozwalić to
jednak ciut kiepski pomysł :>

Zapewniam Cie, ze w systemie masz paręset jak nie parętysięcy innych dużo
słabszych punktów niż suid root na passwd, których audytem w związku z
tym należałoby sie zająć się najpierw ze wzgledu na szacowalne dużo
większe ryzyko istnienia tam rzeczywistych sec byków.

W tej sytuacji zaopatrywanie zasobów dystrybucyjnych w coś takiego musi
niechobnie przypominać wtykanie pionowo długiej deski na szczycie wału
przeciwpowodziowego .. i to tylko na wypadek fali stulecia.

kloczek
PS. Solar podsyłał mi te patche do shadow ale sam zaznaczył że nie nadają 
się one do wrzucenia do dystrybucyjnej wersji shadow (co najwyżej żebym
sobie to przejrzał .. co uczyniłem).
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*