Odstraneni gcc

[Roman Neuhauser]

# danger at wilbury.sk / 2004-12-18 12:18:23 +0100:
> Saturday, December 18, 2004, 2:32:03 AM, si pisal:
> > # danger at wilbury.sk / 2004-12-17 20:04:09 +0100:
> >>   k comu prospeje ked si niekto z masiny odstrani gcc? predsa tie
> >>   binarky si este stale moze skompilovat u seba a uploadnut na dotycny
> >>   stroj, pricom mu na to vobec gcc netreba...
> 
> >     protoze kazda blbost, kterou muzete utocnikovi zkomplikovat zivot,
> >     byt jen o pdimetr, se pocita. utocnik napr. nemusi mit (snadny)
> >     pristup ke stejnemu operacnimu systemu, nebo stejne verzi, a nutnost
> >     nekde neco shanet muze delat rozdil, protoze ho proste vlastni
> >     lenost odradi.
> 
>   mne osobne to pride dost cudne riesenie snazit sa uplne odstranit gcc
>   zo systemu (nepokladam sa vsak ze nejakeho security specialistu). ja
>   sam som si zvykol vytvorit skupinu "make" chownut a chmodnut gcc,
>   make a obdobne binarky a do tejto skupiny dat uz len uzivatelov co
>   si mozu kompilovat na stroji.

    typicky pripad: ve firme pracuje nekolik administratoru. oba jsou
    na serverech (na ktere se nikdo jiny nemuze prihlasit) cleny skupiny
    make. jeden z nich ve zlem odejde, ale zna heslo toho druheho, takze
    se na server porad dostane. k cemu je vam pak, ze nulova mnozina
    uzivatelu v AllowUsers, kteri nejsou cleny skupiny make, si
    kompilaci nemuze pustit?

    reknete: "k cemu je v takove situaci chybejici gcc, propusteny
    admin si proste binarku nakopiruje s scp". administrator ma doma
    jenom CURRENT, ale na serveru je 4.x. nez by resil instalaci stejne
    verze doma, mavne nad utokem rukou, a jde si po svem. voila,
    chybejici gcc pomohlo.

    vysoce motivovaneho utocnika to neodradi, ale jsou situace, kdy
    nepritomnost kompilatoru udela rozdil mezi otrojanovanym, nebo
    cistym strojem.

-- 
If you cc me or remove the list(s) completely I'll most likely ignore
your message.    see http://www.eyrie.org./~eagle/faqs/questions.html