|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 09 Mar 2004 22:51:07
To : Oleg Drokin
Subject : Re: debian & reiserfs
--------------------------------------------------------------------------------
>>> Oleg Drokin wrote:
Hастоящие фидошники сабжей не меняют. OK, продолжаем.
VN>> Всё равно нефиг пускать от рута то, что можно от него не пускать
VN>> с самого начала.
OD> Почему бы и нет, если это не несет никаких рисков?
Hесёт.
VN>> Запуск от рута и set*uid(), кроме прочего, приводит к установке P_SUGID
VN>> (в Linux - к сбросу dumpable) и остаткам в памяти файлов и данных,
VN>> доступных только руту.
OD> По правде сказать, я не понял что ты тут сказал. Какие остатки файлов в
OD> памяти доступные только руту? При чем тут это вообще?
При том. Если мне не веришь, поверь источникам типа securityfocus.
А по пунктам:
- squid запускается от рута, в твоей настройке;
- для того чтобы выполнить setuid() на cache_effective_user ему надо
получить uid по имени (прочесть passwd), возможно, прочесть shadow
на предмет залочки входа, применить настройки этого пользователя
(в BSD это setusercontext(), который может ставить rlimits, окружение
и так далее); всё это может остаться в памяти и включать в себя данные,
которые никому кроме рута не положено знать (тот же shadow, например,
или /etc/spwd.db).
OD> А если тебе так нужен dumpable - его можно вернуть обратно.
_Мне_ он не нужен. Он для того и придуман, чтобы когда в памяти процесса
каша из данных, доступных под разными правами, не писать корки.
И кроме корок есть и другие ограничения. А сам процесс, который так делал,
должен писаться значительно аккуратнее, чем обычно.
su - тулза маленькая, и кроме того всё равно exec() чистит все данные.
А сквид - большой и толстый, и через какую дыру в нём прочитают
shadow - заранее неизвестно, а дыры будут с хорошей гарантией.
VN>> Я не говорил про "всё знать". И если ты понимаешь под элитизмом именно это,
VN>> то зря его приписываешь FreeBSD.
OD> Hу как же, ты же предположил что кому надо, тот знает про prelink. И про все
OD> остальное, надо полагать, тоже знает тот кому надо...
Кому надо ставить не через rpm/deb - да, ему надо бы знать.
А почему нет?
VN>> Если он ставит сам через make install - пусть знает.
VN>> Если через пакетный менеджер - на это замечательно годится установка
VN>> файлового флага и запуск через `at now' или лучше `batch' того же
VN>> prelink'а, лучше даже с указанием списка бинарей и библиотек.
OD> И как это поможет в случае установки десятка пакетов с разрывом в 10 секунд?
Точно так же и поможет. В чём проблема собственно?
-netch-
--- ifmail v.2.15dev5.3
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
