[snip]
>> >Poti sa aplici kestia asta si cu /home (sau /tmp) si ii lasi se se
>bata pe > >toti cap in cap, cel putin cind e vorba de spatiu. > > > Asta
>ar fi o idee tare buna daca majoritatea programelor executate si > le-ar
>tine oamenii prin conturi. Din pacate, alea se tin prin /bin, > /usr/bin,
>/usr/local/bin, deci.. apa de ploaie. Ce s-ar putea retine > eventual din
>ideea ta este sa se monteze /home cu quota si nosuid > (noexec cred ca e
>prea tare, desi ar putea fi util uneori).
cel mai bine te joci cu grsecurity:
vezi : trusted path execution - per group
adica pe scurt un user nu o sa poata executa decat in directoare
care au owner root si cu drept de write detinut numai de root.
vezi: Glibc Protection - pentru a nu mai executa in partitii noexec cu
ld-*
++ many other futures
Ideea: iti faci un kernel 2.4.x cu grsec daca nu ai gasesti la
ftp://blackblue.iasi.rdsnet.ro/pub/linux/kernel/v2.4/
linux-2.4.18-BlackBlueP7.tar.bz2
Dupa care citesti un pic doacele sa vezi ce e cu grsecurity-u asta, iti
bifezi pe 1 ce trebuie prin proc, iti setezi un group pt GID for untrusted
path, dupa care bagi useru x in grupul respectiv. Si problem e solved.
>Stai asa un pic, poate nu am inteles io bine. Omu' a dorit sa puna noexec
>PT UN SINGUR USER. Acuma.. se pare ca avem o problema: ce intelege el prin
>noexec ?
adica prolly sa nu poata executa f-un exploit de prin cont etc., zona
unde poa sa scrie.
>:). Daca pui un noexec sa zicem pe /home (la un sistem
>partitionat ca atare) (l)userii nu au voie sa execute DECIT ce e in
>/usr/bin, si altele de genu. Programe compilate de ei.. cam pauza.
ei nu zau .. ai incercat cu /lib/ld-* si executabil ?
>Si in al doilea rind.. cum sa ajunga un program compilat de un user normal
>in /bin de exemplu ? Asta denota ca sistemu' e configurat prost :), si nu
>se tine cont de reguli de securitate elementare.
Doar daca se duce gigi la operator care tre sa fie o dumba si sa-i zica
am si io un kit de instalare pt un program. Vreti sa vedeti de ce imi da
erroare? Si zbang ala dumba da sa vada ce eroare ii da ca root :). Am
vazut cazuri ce-i drept mai demult.
>Daca vrei sa restrictionezi un user sa aiba drept la pine, i-ai pus shell
>pine si te rogi sa nu se prinda cum se scoate un bash din pine :).
ai idee ce face /etc/pine.conf.fixed ?
>Sau ii pui shell /bin/false si-l trimiti sa-si citeasca posta cu outlook
>sau altele de genu'.
Nu cred ca se pune problema ca sa-i dea shell /bin/false atat timp cat a
specificat ca tre sa-i dea bash.
Inca odata. Grsecurity + rules-uri cu match pe uid sau gid pe output e o
chestie desteapta pt un server multiuser cu useri turbati :). Trust me ..
i know za fiiling.
--
Numai bine,
Ionut.
Murgoci Ionut
Network & System Engineer
RDS Iasi - Network Operations Center
Phone: +40-32-218385 Fax: +40-32-260099
---
Pentru dezabonare, trimiteti mail la
[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
