./+DEINSTALL: Permission denied
Dan Lukes
dan at obluda.cz
Wed May 31 19:00:16 CEST 2006
Miroslav Lachman napsal/wrote, On 05/31/06 14:31:
>> Muzu ti na toto tema doporucit docela peknou prednasku ;-)
>
> Prednasku si necham mile rad doporucit a bude-li to v mych casovych /
> financnich moznostech, rad se ji zucastnim.
http://www.mff.cuni.cz/vnitro/is/sis/predmety/kod.php?kod=MIB010&skr=2005
Tato prednaska je zamerena na praktictejsim stranky "provozovani
bezpecnosti" - predpoklada se, ze ten, kdo ji navstevuje uz ma za sebou
nejaky zakladni teoreticky aparat.
Samozrejme, na kdy to bude narozvrhovano pristi rok nevim.
Ve financnich moznostech to asi bude. Nikdy jsem nevidel, ze by
prednasejici zkoumal, kdo do prednaskove mistnosti patri a kdo ne - i
kdyz, kdyby tam chodila nejaka ohromna kvanta cizich lidi, zrejme by se
praxe zmenila. Ale nemyslim, ze to je pravdepodobne - tohle nepatrilo k
nejpreplnenejsim prednaskam - preci jen, uz je to relativne specialni
odborna prednaska. Taky jsem tam letos chodil, i kdyz jsem tam nepatril.
> V souvislosti s tim portem < 1024 bych mel jeste jednu otazku - od
> FreeBSD 5.1 je mozne pouzit sysctl:
> net.inet.ip.portrange.reservedlow
> net.inet.ip.portrange.reservedhigh
>
> cimz by se dalo napriklad umoznit beh Apache a FTP bez potreby spousteni
> jako root. Samozrejme to pak zase znamena i nejake riziko v tom, ze i
> neprivilegovany uzivatel muze spustit sluzby na techto portech. je v tom
> vsak nejake realne riziko prevazujici nad prinosem u stroje, kde krome
> administratora nema nikdo jiny shellaccount?
No, v tomto smeru je prave MAC jemnejsi - dovoli ten "nizky" port
pouzivat pouze konkretnimu uzivateli a navic dovoli povolene porty
definivat jednotlive, zatimco zminene sysctl jedine jako cely rozsah
(navic jeden) a pristupny vsem
Samozrejme, ze urcite riziko to "otevreni" prinasi - pokud nektery z
tebou provozovanych daemonu chcipne (nebo dokonce takove chcipnuti
dokaze nektery z lokalnich uzivatelu vyvolat) pak pri otevrenem pristupu
k portum muze uzivatel spustit vlastni proces, ktery navenek sluzbu
prevezme.
Jestli to ale znamena nejake ohrozeni neceho, to uz je treba posoudit
podle lokalnich podminek. Treba u Apache, na kterem jsou stranky, ke
kterym se uzivatele nejak autentizuji, by tak mohl sbirat hesla.
> Pripadne druha otazka na Apache a ProFTPd - lze je pri prenastaveni
> net.inet.ip.portrange.* nebo pri pouziti mac_portacl spoustet bez
> rootovskych prav
Nemam osobni zkusenost primo s timhle, u Apache ale predpokladam uspech
- uz jsem videl, ze ho bezny uzivatel pouziva na nestandardnim portu,
takze je zrejme, ze Apache k behu superuzivatelska prava, vyjma
schopnosti bindnout se na "nizky" port nepotrebuje. Takze pokdu bude
moci, melo by to jit.
S ProFTPd nemam zadne zkusenosti.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list