From: Pawel J. D. <ni...@ga...> - 2002-08-04 11:26:40
|
Witam. Pracuj=EA aktualnie nad ca=B3kiem nowym cerbem, kt=F3rego funkcjonalno=B6= =E6 nie b=EAdzie si=EA ju=BF sprowadza=B3a jedynie do ograniczania uprawnie=F1, ale r=F3wnie=BF do ich rozszerzania. Dzi=EAki takiemu podej=B6ciu b=EAdziemy mo= gli usun=B1=E6 z systemu wszystkie suid'y nie ograniczaj=B1c ich funkcjonalno= =B6ci jak r=F3wnie=BF =BFaden demon nie b=EAdzie musia=B3 pracowa=E6 z uprawnieni= ami superu=BFytkownika. Regu=B3y dla poszczeg=F3lnych program=F3w b=EAd=B1 kons= truowane tak, by po pierwsze, program=F3w nie trzeba by=B3o modyfikowa=E6, po drugie by efektywny uid 0 dostawa=B3y jedynie wtedy gdy jest to naprawd=EA koniecz= ne i zaraz po przeprowadzeniu takiej operacji, set-uid b=EAdzie zdejmowany. To daje naprawd=EA ogromne mo=BFliwo=B6ci, mo=BFna doda=E6 np. mo=BFliwo=B6= =E6 wyychodzenia przy niekt=F3rych elementarnych operacjach z jaila/chroota, bo nie wszystkie aplikacje da si=EA w jailu zamkn=B1=E6 lub np. potrzebujemy w jailu/chroot'cie tej samej bazy z has=B3ami, a przecie=BF nie b=EAdziemy modyfikowa=E6 passwd/chpass/itd. tak, by przy ka=BFdej zmianie baz j=B1 kop= iowa=B3y, a tak, mo=BFa wypu=B6ci=E6 aplikacj=EA z jaila na czas czytania /etc/spwd.db na przyk=B3ad. Aktualnie czekam na parser do j=EAzyka, w kt=F3rym b=EAd=B1 definiowane reg= u=B3y, kt=F3ry ma napisa=E6 zaks. Mniej wi=EAcej ju=BF wiemy jak to b=EAdzie wygl= =B1da=E6, powinno przy zorumnym skonstruowaniu regu=B3 dzia=B3a=E6 naprawd=EA szybko. Przyk=B3adowe pliki konfiguracyjne s=B1 tu: http://garage.freebsd.pl/cerb/start.cb http://garage.freebsd.pl/cerb/ping.cb http://garage.freebsd.pl/cerb/passwd.cb http://garage.freebsd.pl/cerb/sshd.cb http://garage.freebsd.pl/cerb/end.cb Czekam na wszelkie propozycje, komentarze, itd. za kt=F3re z g=F3ry dzi=EAk= uj=EA. --=20 Pawel Jakub Dawidek UNIX Systems Administrator http://garage.freebsd.pl Am I Evil? Yes, I Am. |