./+DEINSTALL: Permission denied

Dan Lukes dan at obluda.cz
Wed May 31 19:00:16 CEST 2006


Miroslav Lachman napsal/wrote, On 05/31/06 14:31:
>> 	Muzu ti na toto tema doporucit docela peknou prednasku ;-)
> 
> Prednasku si necham mile rad doporucit a bude-li to v mych casovych / 
> financnich moznostech, rad se ji zucastnim.

http://www.mff.cuni.cz/vnitro/is/sis/predmety/kod.php?kod=MIB010&skr=2005

	Tato prednaska je zamerena na praktictejsim stranky "provozovani 
bezpecnosti" - predpoklada se, ze ten, kdo ji navstevuje uz ma za sebou 
nejaky zakladni teoreticky aparat.

	Samozrejme, na kdy to bude narozvrhovano pristi rok nevim.

	Ve financnich moznostech to asi bude. Nikdy jsem nevidel, ze by 
prednasejici zkoumal, kdo do prednaskove mistnosti patri a kdo ne - i 
kdyz, kdyby tam chodila nejaka ohromna kvanta cizich lidi, zrejme by se 
praxe zmenila. Ale nemyslim, ze to je pravdepodobne - tohle nepatrilo k 
nejpreplnenejsim prednaskam - preci jen, uz je to relativne specialni 
odborna prednaska. Taky jsem tam letos chodil, i kdyz jsem tam nepatril.

> V souvislosti s tim portem < 1024 bych mel jeste jednu otazku - od 
> FreeBSD 5.1 je mozne pouzit sysctl:
> net.inet.ip.portrange.reservedlow
> net.inet.ip.portrange.reservedhigh
> 
> cimz by se dalo napriklad umoznit beh Apache a FTP bez potreby spousteni 
> jako root. Samozrejme to pak zase znamena i nejake riziko v tom, ze i 
> neprivilegovany uzivatel muze spustit sluzby na techto portech. je v tom 
> vsak nejake realne riziko prevazujici nad prinosem u stroje, kde krome 
> administratora nema nikdo jiny shellaccount?

	No, v tomto smeru je prave MAC jemnejsi - dovoli ten "nizky" port 
pouzivat pouze konkretnimu uzivateli a navic dovoli povolene porty 
definivat jednotlive, zatimco zminene sysctl jedine jako cely rozsah 
(navic jeden) a pristupny vsem

	Samozrejme, ze urcite riziko to "otevreni" prinasi - pokud nektery z 
tebou provozovanych daemonu chcipne (nebo dokonce takove chcipnuti 
dokaze nektery z lokalnich uzivatelu vyvolat) pak pri otevrenem pristupu 
k portum muze uzivatel spustit vlastni proces, ktery navenek sluzbu 
prevezme.

	Jestli to ale znamena nejake ohrozeni neceho, to uz je treba posoudit 
podle lokalnich podminek. Treba u Apache, na kterem jsou stranky, ke 
kterym se uzivatele nejak autentizuji, by tak mohl sbirat hesla.

> Pripadne druha otazka na Apache a ProFTPd - lze je pri prenastaveni 
> net.inet.ip.portrange.* nebo pri pouziti mac_portacl spoustet bez 
> rootovskych prav

	Nemam osobni zkusenost primo s timhle, u Apache ale predpokladam uspech 
- uz jsem videl, ze ho bezny uzivatel pouziva na nestandardnim portu, 
takze je zrejme, ze Apache k behu superuzivatelska prava, vyjma 
schopnosti bindnout se na "nizky" port nepotrebuje. Takze pokdu bude 
moci, melo by to jit.

	S ProFTPd nemam zadne zkusenosti.

						Dan



-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list