|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Oleg Drokin 2:5020/400 12 Mar 2004 19:26:26
To : Valentin Nechayev
Subject : Re: debian & reiserfs
--------------------------------------------------------------------------------
Hello!
Valentin Nechayev <netch@segfault.kiev.ua> wrote:
VN> Hастоящие фидошники сабжей не меняют. OK, продолжаем.
;)
VN>>> Всё равно нефиг пускать от рута то, что можно от него не пускать
VN>>> с самого начала.
OD>> Почему бы и нет, если это не несет никаких рисков?
VN> Hесёт.
VN>>> Запуск от рута и set*uid(), кроме прочего, приводит к установке P_SUGID
VN>>> (в Linux - к сбросу dumpable) и остаткам в памяти файлов и данных,
VN>>> доступных только руту.
OD>> По правде сказать, я не понял что ты тут сказал. Какие остатки файлов в
OD>> памяти доступные только руту? При чем тут это вообще?
VN> При том. Если мне не веришь, поверь источникам типа securityfocus.
VN> А по пунктам:
VN> - squid запускается от рута, в твоей настройке;
VN> - для того чтобы выполнить setuid() на cache_effective_user ему надо
VN> получить uid по имени (прочесть passwd), возможно, прочесть shadow
Hу положим ничего страшного в чтении passwd нету.
VN> на предмет залочки входа, применить настройки этого пользователя
shadow читать не нужно, потому что никакого входа у нас нет.
VN> (в BSD это setusercontext(), который может ставить rlimits, окружение
VN> и так далее); всё это может остаться в памяти и включать в себя данные,
VN> которые никому кроме рута не положено знать (тот же shadow, например,
VN> или /etc/spwd.db).
Опять же поскольку у нас никакого входа нет, и лимиты мы не прописываем (зачем?
внутри сквида есть свои лимиты) - ничего страшного.
VN> su - тулза маленькая, и кроме того всё равно exec() чистит все данные.
VN> А сквид - большой и толстый, и через какую дыру в нём прочитают
VN> shadow - заранее неизвестно, а дыры будут с хорошей гарантией.
А еще не факт что squid не делает exec на себя после смены uid и передачи нужных
fd? (в коде копаться лень).
VN>>> Я не говорил про "всё знать". И если ты понимаешь под элитизмом именно
VN>>> это, то зря его приписываешь FreeBSD.
OD>> Hу как же, ты же предположил что кому надо, тот знает про prelink. И про
OD>> все остальное, надо полагать, тоже знает тот кому надо...
VN> Кому надо ставить не через rpm/deb - да, ему надо бы знать.
VN> А почему нет?
Обычно желание ставить не через rpm/deb возникает из незнания как пользоваться
этими самыми rpm/debm куда уж там до более грубоких вещей...
VN>>> Если он ставит сам через make install - пусть знает.
VN>>> Если через пакетный менеджер - на это замечательно годится установка
VN>>> файлового флага и запуск через `at now' или лучше `batch' того же
VN>>> prelink'а, лучше даже с указанием списка бинарей и библиотек.
OD>> И как это поможет в случае установки десятка пакетов с разрывом в 10
OD>> секунд?
VN> Точно так же и поможет. В чём проблема собственно?
Hу at now запустит prelink в течении минуты, а потом еще один, и еше один.
А зачем? Когда можно всего один раз...
Bye,
Oleg
--- ifmail v.2.15dev5.3
* Origin: Green's home news server (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
