./+DEINSTALL: Permission denied

Dan Lukes dan at obluda.cz
Tue May 30 19:33:50 CEST 2006


Miroslav Lachman napsal/wrote, On 05/30/06 15:04:
> Nicmene to porad neni odpove na me otazky: "jak to do budoucna resit?

	Nektere otazky nemaji odpoved odpoved, jine otazku nemaji odpoved, 
ktera by nevyzadovala vetsi objem prace ... ;-)

	Bezpecnostni otazku skoro vzdy patri do jedne z techto kategorii, 
nastesti, vetsinou do te druhe ...

> Vykaslat se uplne na noexec? (prida vubec nejakou realnou bezpecnost,
> kdyz se jakykoliv script stejne da spustit zavolanim "sh
> /var/db/spatny_script.sh"). 

	Neda, pokud dotycny nema pristup k sh (nekteri moji uzivatele nemaji). 
Mohou treba mit pristup jen rsh. Krome toho, scripty i v pripade 
neorezaneho sh jsou preci jen o dost slabsi nastroj nez to, co se da 
napsat v C. A pristup k Perlu a jinym podobnym silnym nastrojum jim 
proste nemusis dovolit ...


> Presunout /var/db/pkg na jiny oddil, ktery nema noexec a do /var/db na nej udelat symlink?"

	Napriklad. Nebo udelat novou partition, tu mountnout do /var/db/pkg a 
na ni noexec nedavat.

	Nebo behem instalace a deinstalace noexec flag odstranit.

	A asi existuji i jine moznosti. Cele to zavisi co presne zabezpecujes, 
proti komu a cemu a jake dalsi mechanismy pouzivas.

	Jestli mas jasno, proti kteremu konkretnimu typu utoku se timto branis, 
pak je sance, ze se na nejake reseni prijde. Jestli to ovsem mas 
nastavene protoze "no ja nevim, oni rikali, ze se tim zvysi bezpecnost" 
tak spis ne ...

	Zatim se mi ale zda, ze na to jdes ze spatneho konce. V bezpecnosti 
otazka nezni "jak pouzit noexec" ale "jak se branit proti XY". Mozna 
bude odpovedi noexec v nejake variante, ktera /var/db/pkg zahrnovat 
nebude, mozna bude odpoved rikat, ze mas noexec v urcite chvile vypnout, 
bude odpoved nejaka uplne jina. To se bez znalosti presneho zneni otazky 
opravdu rict neda.

	Stejne jako u odpovedi "42" ... ;-)

> Jak to kdo z vas resi? Nikde tyhle options nepouzivate? Rozdelujete disk 
> na jeste vice oddilu tak, aby treba qmail mel vlastni oddil, kde je 
> povoleno nosuid? Pouzivate symlinky? Nerozdelujete disk vubec, vsechno 
> je v jednom oddilu a tudiz jsou vsude exec + suid? :o)

	V naproste vetsine pripadu ano noexec ani nosuid nepouzivam. V naproste 
vetsine pripadu se proti konkretnim rizikum branim jinymi mechanismy. Ve 
vyjimecnych pripadech jsem ho pouzival pro urcitou tridu uzivatelu 
systemu - ti meli svoji specialni noexec partition - a nikam jinam 
proste zapisovat nesmeli. Samozrejme, to lze jen v pripade, ze 
nepotrebuji zadny program, ktery je s takovym provozem neslucitelny. 
Jenze, bezpecnost vzdycky neco stoji - a je to jen o tom, jaklou cenu 
jsme ochoten za tu-kterou bezpecnost jeste zaplatit. Takze za program, 
tkery pouzit nelze musim najit nahradu, nebo vymyslet metodu, jak vec 
zaridit, aby nic takoveho nepotrebovali. V opacnem pripade je cena za 
tuto bezpecnost prilis vysoka a nelze to tak udelat.

	Jestli ovsem chces pouzit noexec na /var, ale chces soucasne instalovat 
a deinstalovat packages, aniz bys flag byt' jen na chvili odstranoval 
nebo mel pro /var/db/pkg separatni partition ; jestli chces pouzit 
noexec na /var ale soucasne nemuzes ozelet konkretni program, ktery je s 
timto flagem ve /var neslucitelny ; nebo mas jine podobne navzajem 
neslucitelne pozadavky - pak se dostavame do prvni kategorie otazek z 
bezpecnosti - tech, na ktere neexistuje odpoved.

	I tak si ale myslim, ze otazka "jak pouzivat noexec" je z principu 
spatna a je treba na to jit od druheho konce ...

						Dan



-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list