Odstraneni gcc
Roman Neuhauser
neuhauser at chello.cz
Sat Dec 18 14:45:56 CET 2004
# danger at wilbury.sk / 2004-12-18 12:18:23 +0100:
> Saturday, December 18, 2004, 2:32:03 AM, si pisal:
> > # danger at wilbury.sk / 2004-12-17 20:04:09 +0100:
> >> k comu prospeje ked si niekto z masiny odstrani gcc? predsa tie
> >> binarky si este stale moze skompilovat u seba a uploadnut na dotycny
> >> stroj, pricom mu na to vobec gcc netreba...
>
> > protoze kazda blbost, kterou muzete utocnikovi zkomplikovat zivot,
> > byt jen o pdimetr, se pocita. utocnik napr. nemusi mit (snadny)
> > pristup ke stejnemu operacnimu systemu, nebo stejne verzi, a nutnost
> > nekde neco shanet muze delat rozdil, protoze ho proste vlastni
> > lenost odradi.
>
> mne osobne to pride dost cudne riesenie snazit sa uplne odstranit gcc
> zo systemu (nepokladam sa vsak ze nejakeho security specialistu). ja
> sam som si zvykol vytvorit skupinu "make" chownut a chmodnut gcc,
> make a obdobne binarky a do tejto skupiny dat uz len uzivatelov co
> si mozu kompilovat na stroji.
typicky pripad: ve firme pracuje nekolik administratoru. oba jsou
na serverech (na ktere se nikdo jiny nemuze prihlasit) cleny skupiny
make. jeden z nich ve zlem odejde, ale zna heslo toho druheho, takze
se na server porad dostane. k cemu je vam pak, ze nulova mnozina
uzivatelu v AllowUsers, kteri nejsou cleny skupiny make, si
kompilaci nemuze pustit?
reknete: "k cemu je v takove situaci chybejici gcc, propusteny
admin si proste binarku nakopiruje s scp". administrator ma doma
jenom CURRENT, ale na serveru je 4.x. nez by resil instalaci stejne
verze doma, mavne nad utokem rukou, a jde si po svem. voila,
chybejici gcc pomohlo.
vysoce motivovaneho utocnika to neodradi, ale jsou situace, kdy
nepritomnost kompilatoru udela rozdil mezi otrojanovanym, nebo
cistym strojem.
--
If you cc me or remove the list(s) completely I'll most likely ignore
your message. see http://www.eyrie.org./~eagle/faqs/questions.html
More information about the Users-l
mailing list