Robert Skup napisał(a):
Zastanawia mnie, że od dłuższego czasu obserwowałem problem przy
install/upgrade tylko z perlem i to tylko czasami. Czyżby niektóre
pakiety miały inny sposób prekonfiguracji ?
Tego nie wiem - nigdy nie tworzyłem żadnej paczki (z wyjątkiem jądra -
ale to inna bajka).
On Tue, Sep 06, 2005 at 10:48:04PM +0200, Robert Skup wrote:
Zastanawia mnie, że od dłuższego czasu obserwowałem problem przy
install/upgrade tylko z perlem i to tylko czasami. Czyżby niektóre
pakiety miały inny sposób prekonfiguracji ?
Większość w ogóle nie używa debconfa, więc się nie
Robert Skup wrote:
Witam,
Według założeń bezpieczeństwa dobrze jest /tmp montować
z noexec. Ale z taką wersją niestety Debian nie do końca
robi wszystko poprawnie. Są np. problemy przy updatach ?
Tak więc, jak powinno się do tych założeń i problemów
podejść ? Stosować noexec czy nie ? Czy aby
On Tue, 6 Sep 2005 02:22:24 +0200, Marcin Owsiany wrote:
On Mon, Sep 05, 2005 at 11:28:38PM +0200, Robert Skup wrote:
Według założeń bezpieczeństwa dobrze jest /tmp montować
z noexec.
Pod względem bezpieczeństwa niewiele to daje. (/lib/ld-linux.so.2
pozwala to ominąć)
Już chyba nie:
#
Artur Kokoszka napisał(a):
W /etc/apt/apt.conf:
APT
{
ExtractTemplates
{
TempDir /var/lib/apt/tmp;
}
};
*
Gdzie /var/lib/apt/tmp jest oczywiście exec.
Tak tylko gdy czasami przy konfiguracji pakietu jest używany
skrypt perl to
No chyba że za zabezpieczenie uzna się fakt, że dzięki temu
przeciętny exploit się nie odpali z automata...
Zawsze drobne zabezpieczenie jest lepsze niż żadne ;)
Dodatkowo, gdyby system nie potrzebował, to ani admin, ani userzy
nie potrzebują exec-a na /tmp.
--
Pozdrowienia,
Robert
--
To
On Tue, Sep 06, 2005 at 10:12:40AM +0200, Robert Skup wrote:
Artur Kokoszka napisał(a):
W /etc/apt/apt.conf:
APT
{
ExtractTemplates
{
TempDir /var/lib/apt/tmp;
}
};
*
Gdzie /var/lib/apt/tmp jest oczywiście exec.
On Tue, Sep 06, 2005 at 09:57:26AM +0200, Michal Politowski wrote:
On Tue, 6 Sep 2005 02:22:24 +0200, Marcin Owsiany wrote:
On Mon, Sep 05, 2005 at 11:28:38PM +0200, Robert Skup wrote:
Według założeń bezpieczeństwa dobrze jest /tmp montować
z noexec.
Pod względem bezpieczeństwa
On Tue, Sep 06, 2005 at 10:15:23AM +0200, Robert Skup wrote:
No chyba że za zabezpieczenie uzna się fakt, że dzięki temu
przeciętny exploit się nie odpali z automata...
Zawsze drobne zabezpieczenie jest lepsze niż żadne ;)
Dodatkowo, gdyby system nie potrzebował, to ani admin, ani userzy
On Tue, 6 Sep 2005, Artur Kokoszka wrote:
Takie rozwiązanie jest zalecane na stronach Debiana:
http://www.debian.org/doc/manuals/securing-debian-howto/ch4.en.html#s4.9
Ze swojej strony mogę dodać, że stosuję je od dawna i nigdy nie miałem
problemów ze skryptami perla podczas instalacji (powinny
Dnia wtorek, 6 września 2005 12:15, Marek Zakowicz napisał:
Pozwolę sobie zauważyć, że osoby, które nie chcą ryzykować, problemów przy
instalacji (oczywiście pewnym kosztem bezpieczeństwa) mogą się zadowolić
opcjami /etc/apt/apt.conf:
DPkg {
Pre-Invoke { mount /tmp -o remount,exec };
Tak tylko gdy czasami przy konfiguracji pakietu jest używany
skrypt perl to on już idzie z /tmp ;(
Nawet jak ustawisz $TMPDIR?
$TMPDIR nie ustawiałem a domyślnie nie jest ustawione ;(
Sprawdzę przy następnej okazji (przy jakimś security update).
Ostanie security update pakietów z noexec /tmp
On Tue, Sep 06, 2005 at 06:17:48PM +0200, Robert Skup wrote:
Preconfiguring packages ...
Can't exec /tmp/courier-base.config.184821: Permission denied at
Po prostu nie udała się prekonfiguracja. Ustawienie TMPDIR powinno temu
zaradzić, przez utworzenie pliku config w innym katalogu.
Marcin
--
Robert Skup napisał(a):
Ostanie security update pakietów z noexec /tmp bez ustawienia
$TMPDIR dało takie oto informacje:
# apt-get upgrade -u
Reading Package Lists... Done
Building Dependency Tree... Done
The following packages will be upgraded:
courier-base courier-maildrop libpcre3 ntp
On Tuesday 06 of September 2005 02:22, Marcin Owsiany wrote:
On Mon, Sep 05, 2005 at 11:28:38PM +0200, Robert Skup wrote:
Według założeń bezpieczeństwa dobrze jest /tmp montować
z noexec.
Pod względem bezpieczeństwa niewiele to daje. (/lib/ld-linux.so.2
pozwala to ominąć)
No chyba że za
Artur Kokoszka napisał(a):
Oj, coś kombinujesz. Poświęciłem się ;) i zrobiłem dokładnie to samo u
siebie. W apt.conf mam to co podałem wcześniej. Bez ustawiania $TMPDIR.
Masz wynik mount i intalacji courier-base. NIE MA PROBLEMA !
Ja też się poświęciłem i masz rację, lecz nie z tym, że
Witam,
Według założeń bezpieczeństwa dobrze jest /tmp montować
z noexec. Ale z taką wersją niestety Debian nie do końca
robi wszystko poprawnie. Są np. problemy przy updatach ?
Tak więc, jak powinno się do tych założeń i problemów
podejść ? Stosować noexec czy nie ? Czy aby nie jest to
jakiś bug
On Mon, Sep 05, 2005 at 11:28:38PM +0200, Robert Skup wrote:
Według założeń bezpieczeństwa dobrze jest /tmp montować
z noexec.
Pod względem bezpieczeństwa niewiele to daje. (/lib/ld-linux.so.2
pozwala to ominąć)
No chyba że za zabezpieczenie uzna się fakt, że dzięki temu przeciętny
exploit się
18 matches
Mail list logo