[Cerb-list]Nowe oblicze cerba.

SourceForge Headquarters 225 Broadway Suite 1600 San Diego, CA 92101 +1 (858) 454-5900

Witam.

Pracuj=EA aktualnie nad ca=B3kiem nowym cerbem, kt=F3rego funkcjonalno=B6=
=E6 nie
b=EAdzie si=EA ju=BF sprowadza=B3a jedynie do ograniczania uprawnie=F1, ale
r=F3wnie=BF do ich rozszerzania. Dzi=EAki takiemu podej=B6ciu b=EAdziemy mo=
gli
usun=B1=E6 z systemu wszystkie suid'y nie ograniczaj=B1c ich funkcjonalno=
=B6ci
jak r=F3wnie=BF =BFaden demon nie b=EAdzie musia=B3 pracowa=E6 z uprawnieni=
ami
superu=BFytkownika. Regu=B3y dla poszczeg=F3lnych program=F3w b=EAd=B1 kons=
truowane
tak, by po pierwsze, program=F3w nie trzeba by=B3o modyfikowa=E6, po drugie
by efektywny uid 0 dostawa=B3y jedynie wtedy gdy jest to naprawd=EA koniecz=
ne
i zaraz po przeprowadzeniu takiej operacji, set-uid b=EAdzie zdejmowany.
To daje naprawd=EA ogromne mo=BFliwo=B6ci, mo=BFna doda=E6 np. mo=BFliwo=B6=
=E6 wyychodzenia
przy niekt=F3rych elementarnych operacjach z jaila/chroota, bo nie
wszystkie aplikacje da si=EA w jailu zamkn=B1=E6 lub np. potrzebujemy
w jailu/chroot'cie tej samej bazy z has=B3ami, a przecie=BF nie b=EAdziemy
modyfikowa=E6 passwd/chpass/itd. tak, by przy ka=BFdej zmianie baz j=B1 kop=
iowa=B3y,
a tak, mo=BFa wypu=B6ci=E6 aplikacj=EA z jaila na czas czytania /etc/spwd.db
na przyk=B3ad.

Aktualnie czekam na parser do j=EAzyka, w kt=F3rym b=EAd=B1 definiowane reg=
u=B3y,
kt=F3ry ma napisa=E6 zaks. Mniej wi=EAcej ju=BF wiemy jak to b=EAdzie wygl=
=B1da=E6,
powinno przy zorumnym skonstruowaniu regu=B3 dzia=B3a=E6 naprawd=EA szybko.
Przyk=B3adowe pliki konfiguracyjne s=B1 tu:
http://garage.freebsd.pl/cerb/start.cb
http://garage.freebsd.pl/cerb/ping.cb
http://garage.freebsd.pl/cerb/passwd.cb
http://garage.freebsd.pl/cerb/sshd.cb
http://garage.freebsd.pl/cerb/end.cb

Czekam na wszelkie propozycje, komentarze, itd. za kt=F3re z g=F3ry dzi=EAk=
uj=EA.

--=20
Pawel Jakub Dawidek
UNIX Systems Administrator
http://garage.freebsd.pl
Am I Evil? Yes, I Am.