forum.opennet.ru

Составление сообщения

Исходное сообщение

"Анонсирован Openwall GNU/*/Linux 3.1-stable"
Отправлено solardiz, 07-Янв-15 12:24

> Я смотрел ранее openwall,
<nitpick>
JFYI, Openwall - это наша команда. У нас несколько своих проектов, а также поддержка некоторых ресурсов для более широкого сообщества (в частности, список рассылки oss-security) и работы для наших клиентов. Owl - один из проектов, но не основной (мы не выделяем какой-либо проект как основной).
</nitpick>
> и как это ни странно меня больше всего заинтересовало переведение shadow на tcb,
Не странно. Это один из компонентов, требовавшихся для ухода от SUID root программ, что мы и сделали. Наша реализация tcb также применяется в ALT Linux и Mandriva/Mageia, но без их полного ухода от SUID root в поставке по умолчанию это имеет меньший эффект для безопасности системы, чем в Owl.
> но решение какое то не полное, сделано только для shadow, а для passwd group gshadow нет. У вас собираются это доделывать?
Ой. А что там доделывать, и зачем? Раскидать passwd на кучу мелких файлов "для красоты"? Нет, для безопасности это не нужно. Аналогично с group. Для отказа от SUID root на команде passwd (и chage) достаточно было раскидать shadow.
С gshadow вопрос сложнее: тем очень немногим, кто знает о возможности поставить пароль на группу и этим пользуется, да еще и не от root'а, сейчас приходится сначала выполнить команду "control gpasswd wheelonly" или даже "control gpasswd public", при этом получив обратно SUID root на программу gpasswd. Это плохо. Мы могли бы попытаться это решить раскидав gshadow на файлы с администраторами групп в качестве владельцев. Но при этом останется вопрос как этими группами потом пользоваться? Всё равно команда newgrp, которую для этого потребовалось бы включить тем же control'ом, потребовала бы SUID root для переключения группы, либо патча в ядро, чтобы какие-то переключения групп работали с привилегиями, не эквивалентными root'у. Таким образом, мы получили бы либо недоделку, либо неоправданно сложную (и поэтому опасную) конструкцию. И всё ради возможности о которой мало кто знает и совсем мало кто пользуется. К этому можно добавить еще и принципиальные риски, связанные с использованием newgrp из-под пользователя. Поэтому мы поступили проще и поставляем gpasswd и newgrp доступными только root'у, и control-файлы для тех немногих, кто хочет эту возможность включить (на свой риск).
Так что нет, мы считаем tcb доделанным.

Исходное сообщение
*"Анонсирован Openwall GNU//Linux 3.1-stable"** Отправлено solardiz, 07-Янв-15 12:24
> Я смотрел ранее openwall, <nitpick> JFYI, Openwall - это наша команда. У нас несколько своих проектов, а также поддержка некоторых ресурсов для более широкого сообщества (в частности, список рассылки oss-security) и работы для наших клиентов. Owl - один из проектов, но не основной (мы не выделяем какой-либо проект как основной). </nitpick> > и как это ни странно меня больше всего заинтересовало переведение shadow на tcb, Не странно. Это один из компонентов, требовавшихся для ухода от SUID root программ, что мы и сделали. Наша реализация tcb также применяется в ALT Linux и Mandriva/Mageia, но без их полного ухода от SUID root в поставке по умолчанию это имеет меньший эффект для безопасности системы, чем в Owl. > но решение какое то не полное, сделано только для shadow, а для passwd group gshadow нет. У вас собираются это доделывать? Ой. А что там доделывать, и зачем? Раскидать passwd на кучу мелких файлов "для красоты"? Нет, для безопасности это не нужно. Аналогично с group. Для отказа от SUID root на команде passwd (и chage) достаточно было раскидать shadow. С gshadow вопрос сложнее: тем очень немногим, кто знает о возможности поставить пароль на группу и этим пользуется, да еще и не от root'а, сейчас приходится сначала выполнить команду "control gpasswd wheelonly" или даже "control gpasswd public", при этом получив обратно SUID root на программу gpasswd. Это плохо. Мы могли бы попытаться это решить раскидав gshadow на файлы с администраторами групп в качестве владельцев. Но при этом останется вопрос как этими группами потом пользоваться? Всё равно команда newgrp, которую для этого потребовалось бы включить тем же control'ом, потребовала бы SUID root для переключения группы, либо патча в ядро, чтобы какие-то переключения групп работали с привилегиями, не эквивалентными root'у. Таким образом, мы получили бы либо недоделку, либо неоправданно сложную (и поэтому опасную) конструкцию. И всё ради возможности о которой мало кто знает и совсем мало кто пользуется. К этому можно добавить еще и принципиальные риски, связанные с использованием newgrp из-под пользователя. Поэтому мы поступили проще и поставляем gpasswd и newgrp доступными только root'у, и control-файлы для тех немногих, кто хочет эту возможность включить (на свой риск). Так что нет, мы считаем tcb доделанным.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру