Uprawnienia na /srv

Daniel Mróz beorn w alpha.pl
Czw, 13 Lis 2008, 21:55:08 CET 

On Thu, Nov 13, 2008 at 06:55:02PM +0100, Andrzej Krzysztofowicz wrote:
> > Jeśli chodzi Ci o /srv, to takie ustawienie jest dobre i nie widzę
> > powodu aby dawać tam jeszcze +r dla wszystkich w domyślnej konfiguracji.
> > PLD ma być w podstawowej konfiguracji zabezpieczony maksymalnie jak się
> > da. Po to jest ta cała zabawa z grupami disk, audio, video, cdwrite itp.
> Chyba nie masz pojecia co oznacza slowo bezpieczenstwo.
> Grupy daja separacje uprawnien, co oznacza, ze bledu w jednej
> aplikacji nie da sie wykorzystac do zamieszania w innej aplikacji.
Holender... Patrz, a ja myślałem, że te grupy są po to aby mi userzy
nie bruździli po napędach, karcie muzycznej itp. Jakiż głupi ja byłem!
;)

> > Zabronienie odczytu katalogu /srv userom też podpada pod tę kategorię.
> A tu nie widze zwiazku. Podasz przyklad?
Przykłady były, kilka razy. Mam przeklepywać połowę wątku?
 
> Jesli w ktoryms podkatalogu /srv znajdzie sie plik/katalog o zbyt duzych
> prawach zapisu (o+w), to ukrycie tego faktu poprzez zabranie prawa odczytu
> do /srv _nic_ nie zmienia w kwestii bezpieczenstwa. Do pliku sie nadal mozna
> dostac i go wykorzystac. Dziura jest ten plik.
No i?
Ja tu mówię o pozostałych katalogach w /srv. Po kiego userzy mają
wiedzieć co się w tym katalogu znajduje? Jak ktoś sobie w /srv założy
katalog z o+w, to jego problem. Nie rozumiem w jaki sposób danie +r na
/srv miałoby ten problem zniwelować. Obecnie jeśli ktoś się zagalopował
i stworzył takie cudo, to żaden z userów nie będzie w stanie
wylistować /srv i zobaczyć, że istnieje katalog z pełnym prawem zapisu.
O ile oczywiście nie zna nazwy tego katalogu, ale to już inna para
kaloszy.

> I chyba nikt przy zdrowych zmyslach nie zamierza umieszczac plikow z
> poufnymi danymi bezposrednio w /srv i dawac im o+r...
Hę? A o czym Ty mi tu? Kto mi zabroni? Zawartość /srv jest sprawą
administratora. Może tam sobie nawet położyć swoje rozbierane zdjęcia
jeśli mu się podoba. Cały myk polega na tym, że jeśli sobie tam wrzucę
plik Ja_na_golasa_w_Łebie.jpg, to o ile user nie zna nazwy tego pliku,
to nie będzie miał do niego dostępu. Security by obscurity? Oczywiście,
że tak! Ale to jakie uprawnienia będzie miał TEN plik, to już jest moja
sprawa i mój problem. Domyślna konfiguracja dystrybucji daje minimalne
zabezpieczenie, które możesz sobie zmienić wedle potrzeb. Możesz sobie
nawet zmienić grupę tego katalogu i dać g+rwx jeśli potrzebujesz.

> Dlatego jeszcze raz zapytam: podasz przyklad ilustrujacy dziure w
> bezpieczenstwie wynikajaca z a+r /srv ?
Proszę bardzo. Przykłady już miałeś: lista klientów. Inny przykład?
Zainstalowane aplikacje.

> > Zresztą, nie rozumiem w czym jest problem. Przecież można tam utworzyć
> > sobie katalog usługi, który może być już wykonywalny i odczytywalny
> > przez wszystkich. Userzy będą mieli dostęp do potrzebnych danych, a
> > zawartości /srv nie będą mogli oglądać. Tak powinno być.
> Problem jest, ze ktos moze chciec, zeby inni mieli do niego pelny dostep.
> A skoro nalezy do FHS, to uprawnieniami do niego powinien zarzadzac rpm a
> nie admin. Jak chcesz ukryc dane, to umiesc je w go=x /srv/tajne i nikomu to
> nie bedzie przeszkadzac.
Powiedz (napisz) mi dlaczego tak się upierasz przy daniu praw odczytu
dla wszystkich na /srv?
Potrzebujesz aby userzy mieli dostęp do danych umieszczonych w /srv? -
stwórz podkatalog z odpowiednimi uprawnieniami i zostaw /srv w spokoju.
Dane dla userów chcesz wrzucić bezpośrednio w /srv? - zmień sobie
uprawnienia do tego katalogu, grupę, właściciela, cokolwiek i nie narażaj
innych użytkowników dystrybucji.
Uważasz, że pleciemy bzdury i Twoje rozwiązanie zbawi świat? - zgłoś
propozycję do RM/CDG, uzasadnij i zapoznaj się z opinią osób decyzyjnych.
Naszą opinię już znasz. Nie rozumiem w czym masz problem.

> Security by obscurity tak naprawde wcale nie zwieksza bezpieczenstwa a
> jedynie ukrywa jego brak. I bylo to juz w wielu miejscach wielokrotnie
> walkowane.
To nie znaczy, że mamy rezygnować chociażby z tej formy zabezpieczenia,
bo Tobie się nie chce wpisać "chmod a+r /srv".


Pozdrawiam
Beorn

-- 
Daniel 'Beorn' Mróz <beorn w alpha.pl>    http://127.0.0.1/beorn
[GIT d s:- a-@ C++++ UL++++$ P+ L++++ E--- W+ N+++ o? K- w---]
[O- M- V!  PS+ PE++ Y+ PGP++ t- 5  X R !tv b+ DI D++ G++ e h*]
[                          r++  y+                           ]

Więcej informacji o liście dyskusyjnej pld-devel-pl