Mam pytanie o zakladanie flagi noexec na system plikow:
- czy mozna zablokowac omijanie jej przez uzytkownika uruchamiajacego
skrypty przez: sh skrypt
- czy jezeli wszystkie dostepne systemy plikow, na ktorych uzytkownik
ma prawo zapisu, maja flage noexec, to czy jest to skuteczne
zabezpieczenie przed uruchamianiem programow binarnych, czy mozna to
jeszcze jakos ominac ?
Pozdrawiam,
KM
- czy mozna zablokowac omijanie jej przez uzytkownika uruchamiajacego
skrypty przez: sh skrypt
Nie mozna. Jezeli ma pracowac, to moze uruchomic shella,
a shellowi moze podac dowolne polecenia (w szczegolnosci z pliku)...
- czy jezeli wszystkie dostepne systemy plikow, na ktorych uzytkownik
ma prawo zapisu, maja flage noexec, to czy jest to skuteczne
zabezpieczenie przed uruchamianiem programow binarnych, czy mozna to
jeszcze jakos ominac ?
Zawsze mozna... (zalezy od tego, jak ktos sie stara i ile jest
dziur w programach, ktore mozna uruchamiac)
Moze warto pomyslec o stworzeniu dla uzytkownikow setrootowego
srodowiska?
* (PL.COMP.OS.SECURITY, Tue Feb 03 1998) Michal Trojnara -All:
Moze warto pomyslec o stworzeniu dla uzytkownikow setrootowego
srodowiska?
Polecam jeszcze quotę na trzy inody. Znaczy się ".", ".." i jaki¶
plik. Hard quotę.
______________________________________________________________________________
rafal wiosna * BOFH * Linux * OS/2 v4 * "Załoga windy pozdrawia oczekuj±cych!"
* (PL.COMP.OS.SECURITY, Tue Feb 03 1998) Michal Trojnara -All:
Moze warto pomyslec o stworzeniu dla uzytkownikow setrootowego
srodowiska?
Polecam jeszcze quotę na trzy inody. Znaczy się ".", ".." i jaki¶
plik. Hard quotę.
______________________________________________________________________________
rafal wiosna * BOFH * Linux * OS/2 v4 * "Załoga windy pozdrawia oczekuj±cych!"
Dwa razy nie powtarzac :]
clikety< click<
:]
Kuba
* (PL.COMP.OS.SECURITY, Tue Feb 03 1998) Michal Trojnara -All:
Moze warto pomyslec o stworzeniu dla uzytkownikow setrootowego
srodowiska?
Polecam jeszcze quotę na trzy inody. Znaczy się ".", ".." i jaki¶
plik. Hard quotę.
Bede zgadywal: ".profile"?
A tak serio: To zalezy od polityki bezpieczenstwa. Jezeli ktos
wpada w taka paranoje, ze nie pozwala uzytkownikom uruchamiac
wlasnych programow, to znaczy, ze jego wymagania odnosnie
bezpieczenstwa sa dosyc ostre. Stad sugestia setrootowego
srodowiska. Oczywiscie w normalnych sytuacjach zadna z tych rzeczy
nie ma wiekszego sensu.
Pozdrawiam,
Michal
Czy moglibyscie rozszerzyc koncepcje zakladania quoty na inode ?
Quote zaklada sie na miejsce na dysku i na ilosc i-node'ow
(zeby ktos zakladajac duza ilosc malutkich pliczkow nie
zajal wszystkich wolnych i-node'ow, co mialoby bardzo podobny
efekt, jak zajecie calego wolnego miejsca).
Inna sprawa, ze nie niewielu administratorow korzysta
z tej mozliwosci.
* (PL.COMP.OS.SECURITY, Thu Feb 05 1998) Michal Trojnara -All:
| Polecam jeszcze quotę na trzy inody. Znaczy się ".", ".." i jaki¶
| plik. Hard quotę.
Bede zgadywal: ".profile"?
BZZZZZ! Nie zgadłe¶. Chodziło o ".forward". 8^)
A tak serio: To zalezy od polityki bezpieczenstwa. Jezeli ktos
wpada w taka paranoje, ze nie pozwala uzytkownikom uruchamiac
wlasnych programow, to znaczy, ze jego wymagania odnosnie
bezpieczenstwa sa dosyc ostre.
Jasne. Nie mam nic przeciwko.
Stad sugestia setrootowego srodowiska.
Jak na free.polbox.pl... 8^)
______________________________________________________________________________
rafal wiosna * BOFH * Linux * OS/2 v4 * "Załoga windy pozdrawia oczekuj±cych!"
* (PL.COMP.OS.SECURITY, Thu Feb 05 1998) Krzysztof Murkowski -All:
| Bede zgadywal: ".profile"?
Czy moglibyscie rozszerzyc koncepcje zakladania quoty na inode ?
Jak sama nazwa wskazuje, quota nie służy do rozszerzania, a co dopiero
koncepcja zakładania quoty. 8^) 8^) 8^)
______________________________________________________________________________
rafal wiosna * BOFH * Linux * OS/2 v4 * "Załoga windy pozdrawia oczekuj±cych!"