2011/7/12 Adi Pircalabu <[email protected]>: > 2011/7/12 manuel "lonely wolf" wolfshant <[email protected]>: >> On 07/12/2011 01:36 PM, Adi Pircalabu wrote: >>> Cred ca Vali are dreptate, fisierul ala e acolo cu un scop si ca >>> rezultat al unei autentificari reusite, de ce s-ar vrea blocat >>> implicit accesul la el? >> poate pentru ca s-ar putea sa nu fi ajuns pe cai corecte acolo in mod >> normal o creare corecta a fisierului ii seteaza si contextul corect. > > Pai exact pentru situatiile astea se scriu politicile, nu? "Assumption > is the mother of all stuff-ups", in principiu nu e bine sa lasi la > indemana aplicatiei decizii din astea sensibile gen autentificare. > $HOME/.ssh/authorized_keys e folosit de sshd in configuratia > implicita, deci e foarte posibil ca un fisier cu caracteristicile > respective in locatia aia sa fie cat se poate de legal si dorit acolo, > cam ca in duck test. >
Eu zic ca e putin cam aiurea sa sari repede cu "ce prost a fost ala care a gandit chestia asta" fara sa lasi loc de probleme mai complexe decat ai nevoie. sshd ruleaza in system_r:sshd_t ca sa forteze binarul sa nu aiba acces decat fix la ce trebuie (cred ca multa lume de pe-aici tine minte perioada de acum 8-9 ani cand tot apareau exploituri de sshd de a aparut moda sa-l muti pe porturi "secrete"). fisierul ala a fost creat ca object_r:admin_home_t pentru ca a fost facut cu cat sau cu vreun editor (ssh-copy-id tot un cat remote ruleaza). Asa cum trebuie sa fie readable doar de catre user (sshd verifica explicit permisiunile pe el si refuza sa-l foloseasca daca e prea permisiv), tot asa in situatii de utilizare selinux trebuie sa aiba si contextul potrivit. E o problema de documentare? Poate. E o problema de lipsa implicita a unui .ssh cu contextul care trebuie in home-ul userului? Poate. E insuficient documentata trecerea la setenforce=1 implicit? Poate si asta. Dar sa incepi sa bombani ce prosti au fost aia care au implementat niste security controls de care te lovesti brusc doar pentru ca "pana acum n-a fost nevoie" e atitudine de luser :P BTW, dansul asta cu contextele va trebui facut destul de des pe sisteme cu selinux activ pentru tot felul de scenarii care "pana acum mergeau", asa ca la un moment dat va trebui sa lasi ranturile deoparte si sa iti ajustezi obiceiurile (fie si sa includa trecerea implicita in mod permisiv, ceea ce imho mi se pare o atitudine gresita). Disclaimer: nu folosesc centos si cu sisteme cu selinux am avut destul de rar ocazia sa lucrez, dar nu agreez atitudinea de "nu inteleg porcaria asta, hai sa o dezactivez si sa-i injur pe aia care mi-au bagat-o pe gat" in loc de "documentatia e incompleta, hai sa o repar". -- Petre. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
