The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Fedora на пути полного ухода от использования suid-программ ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от opennews (ok) on 29-Окт-10, 16:02 
На очередном совещании управляющего совета проекта Fedora была одобрена (http://lists.fedoraproject.org/pipermail/devel/2010-October/...) идея полного избавления дистрибутива от приложений с установленным флагом смены пользовательского идентификатора (suid), что значительно повысит безопасность системы. Реализовать намеченное в жизнь планируется (http://fedoraproject.org/wiki/Features/RemoveSETUID) в релизе Fedora 15.


Вместо установки suid-бита, для программ, требующих повышенных прав доступа, будут применены "capabilities", позволяющие организовать выполнение только требуемых привилегированных действий. Например, утилита ping получит возможность доступа только к raw-сокету (CAP_NET_RAWIO), без делегирования полноценных root-прав. В настоящее время для 11 пакетов уже
осуществлен (https://bugzilla.redhat.com/show_bug.cgi?id=646440) уход от suid root, для 24 пакетов изменения находятся в процессе обработки.

URL: http://lists.fedoraproject.org/pipermail/devel/2010-October/...
Новость: http://www.opennet.dev/opennews/art.shtml?num=28454

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Fedora на пути полного ухода от использования suid-программ ..."  –4 +/
Сообщение от tux2002 email(ok) on 29-Окт-10, 16:02 
Простите за буквоедство - setuid.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Fedora на пути полного ухода от использования suid-программ ..."  +1 +/
Сообщение от Аноним (??) on 29-Окт-10, 16:12 
Флаг называется S_ISUID, поэтому всё нормально
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Fedora на пути полного ухода от использования suid-программ ..."  +2 +/
Сообщение от x97rang on 29-Окт-10, 16:13 
молодцы ребята
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Fedora на пути полного ухода от использования setuid-програм..."  +/
Сообщение от maint email on 29-Окт-10, 16:36 
помятуя о звуке, а вообще не запретят ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Fedora на пути полного ухода от использования setuid-програм..."  +/
Сообщение от tux2002 email(ok) on 29-Окт-10, 16:52 
> помятуя о звуке, а вообще не запретят ?

Я не знаю о чём Вы про запреты, но рут достаточно перегружен обязанностями на десктоп системах. Мне вообще кажется сегодняшнее положение - это натягивание остатков многопользовательской системы на десктоп.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

25. "Fedora на пути полного ухода от использования setuid-програм..."  +2 +/
Сообщение от Michael Shigorin email(ok) on 29-Окт-10, 22:45 
> натягивание остатков многопользовательской системы на десктоп.

Хм, то есть однопользовательская win95 Вам как десктоп ближе?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

33. "Fedora на пути полного ухода от использования setuid-програм..."  +/
Сообщение от НеДобрый Аноним on 30-Окт-10, 04:26 
а там разве хоть что-то работает в контексте пользователя? и вообще есть ли там отличие: пользователь - суперпользователь?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

39. "Fedora на пути полного ухода от использования setuid-програм..."  +/
Сообщение от tux2002 email(ok) on 30-Окт-10, 20:33 
>> натягивание остатков многопользовательской системы на десктоп.
> Хм, то есть однопользовательская win95 Вам как десктоп ближе?

Я хотел сказать, что по моему мнению Linux немного не для этого.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

5. "Fedora на пути полного ухода от использования suid-программ ..."  +1 +/
Сообщение от zazik (ok) on 29-Окт-10, 16:46 
Мне кажется, идея хорошая.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Fedora на пути полного ухода от использования suid-программ ..."  –1 +/
Сообщение от KERNEL_PANIC (ok) on 29-Окт-10, 16:51 
Ну отлично! Когдато находил в интернете пару трюков взлома через suid. Интересно, на новой технологии действительно безопасно?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от www2 (??) on 29-Окт-10, 17:05 
Надо полагать, что в определённой степени безопаснее, но не безопасно полностью. Например, если раньше, найдя уязвимость в ping, можно было бы получить полный доступ к системе, то теперь можно будет получить только полный доступ к сетевой подсистеме (генерировать любые пакеты и ловить любые пакеты, я так понимаю).
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от tux2002 email(ok) on 29-Окт-10, 17:29 
Это да. Но я ещё в этом виижу всё таки уход от модели одного суперпользователя к модели с распределением обязанностей. И такие тенденции и попытки в области использования Linux прослеживаются у некоторых людей в Internet.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Fedora на пути полного ухода от использования suid-программ ..."  +2 +/
Сообщение от Аноним (??) on 29-Окт-10, 18:01 
наконец-то кто-то начал вспоминать о модели безопастности реализованой в Netware-3 :)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от tux2002 email(ok) on 29-Окт-10, 19:38 
> наконец-то кто-то начал вспоминать о модели безопастности реализованой в Netware-3 :)

Я незнаком с NetWare.
Отучение exim от setuid протрахало мне мозг на два месяца.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Fedora на пути полного ухода от использования suid-программ ..."  –1 +/
Сообщение от tux2002 email(ok) on 29-Окт-10, 19:45 
И теперь наконец я знаю, что настоящий mbox имеет разрешения 602. 2 - щёлочка куда кидает письмо почтальон. 6 - пользователь открывает ключиком. Ну да вы все у себя в подъезде можете посмотреть. exin такое не умеет :(.

Шютка :)!

К чему это я? Ну setuid, работа в группе и т.д. и т.п. это так сзать unix way, хотя кому это нафих нужно,  к чему это я?.


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

26. "Fedora на пути полного ухода от использования suid-программ ..."  –3 +/
Сообщение от Michael Shigorin email(ok) on 29-Окт-10, 22:47 
> И теперь наконец я знаю, что настоящий mbox имеет разрешения 602.
> 2 - щёлочка куда кидает письмо почтальон.

Не 2 (read), а 4 (write).

> 6 - пользователь открывает ключиком.

7, поскольку можно и заглянуть, и взять, и забросить.

> Ну да вы все у себя в подъезде можете посмотреть. exin такое не умеет :(.

Ну посмотрите наконец на postfix и непривилегированный procmail в альте :)

>  к чему это я?.

Хороший вопрос.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от filosofem (ok) on 29-Окт-10, 23:56 
>Не 2 (read), а 4 (write).

ШИТО?
Это у вас в Альте так??? Чтобы враг запутался? =)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Fedora на пути полного ухода от использования suid-программ ..."  +1 +/
Сообщение от ананим on 30-Окт-10, 00:47 
>602. 2 - щёлочка куда кидает письмо почтальон.

это не почтальён, а извращенец какой-то. любитель подглядывать в щёлочку, но не кидать.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

46. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от Аноним (??) on 31-Окт-10, 19:37 
учите матчасть
rwx
421
Суммируем и получаем цыфирку
просба больше не порочить святое имя анонима
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

49. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Дек-11, 00:54 
>>Не 2 (read), а 4 (write).
> ШИТО?

(наткнувшись) Благодарю, и впрямь переклинило.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от tux2002 email(ok) on 30-Окт-10, 11:33 
> Ну посмотрите наконец на postfix и непривилегированный procmail в альте :)

Мне серьёзно как postmaster это очень интересно, посмотрю.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от leonid.ko on 30-Окт-10, 20:50 
Вы что-то перепутали тёплое с мягким. Программы не будут иметь возможности использовать ВСЕ права суперпользователя. Сама концепция суперпользователя не изменилась.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от Анонимен on 29-Окт-10, 17:33 
А когда такое будет в ubuntu?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от anthonio (ok) on 29-Окт-10, 17:36 
Подскажите, кто знает, а что с pppd они сделали?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от tux2002 email(ok) on 29-Окт-10, 19:59 
> Подскажите, кто знает, а что с pppd они сделали?

Ты прикинь !!! Они дали разрешение группе netdev rw на /dev/ppp!!!!!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от tux2002 email(ok) on 29-Окт-10, 20:00 
>> Подскажите, кто знает, а что с pppd они сделали?
> Ты прикинь !!! Они дали разрешение группе netdev rw на /dev/ppp!!!!!

Так грустноооо, что хочется куууурить!

PS  я не проверял, но это должно быть около этого.....

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от tux2002 email(ok) on 29-Окт-10, 20:02 
> Подскажите, кто знает, а что с pppd они сделали?

Вы провоцируете :?) Дак я пьян :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от BliecanBag (ok) on 29-Окт-10, 21:42 
А что не так? У меня в F14 все работает
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Fedora на пути полного ухода от использования suid-программ ..."  +7 +/
Сообщение от solardiz (ok) on 29-Окт-10, 18:11 
В целом, правильно делают. Но первое время это скорее приведет даже к проблемам с безопасностью, чем к их устранению. Дело в том, что SUID-программы, по идее, должны быть написаны с учетом своего такого статуса, но без учета возможных capabilities.

Например, ping сбрасывает root'а как только получит raw socket - даже до анализа опций командной строки. Если же ему вместо root'а дать CAP_NET_RAW, он ее не сбросит, а так и будет с ней работать дальше. В результате возможная уязвимость на этапе после возможного/бывшего сброса root'а приведет не к утечке одного raw socket'а определенного типа (как было раньше), а к утечке всего CAP_NET_RAW (создание произвольных raw sockets, а они бывают разные, и еще кое-что). Т.е. станет чуточку хуже. Это надо исправлять патчем. И так с каждым пакетом. Думаю, они это исправят постепенно.

Да, последствия уязвимостей до бывшего сброса root'а сократятся, но это важно только если SUID-root программ не останется вообще ни одной, т.к. такие уязвимости следует ожидать в ld-linux.so, libc, и ядре, а не в нескольких строках кода в ping.c, которые там шли до сброса root'а. Если же в дистрибутиве все равно оставлять su, sudo и т.п., это теряет смысл. Кстати, традиционный сисадминский подход с заходом под пользователем и использованием su/sudo не выдерживает анализа и критики:

http://www.openwall.com/lists/owl-users/2004/10/20/6

Еще одна проблема - часть capabilities почти эквивалентны root'у. Например,
policycoreutils_setuid.patch на который есть ссылка с Features/RemoveSETUID, раздает cap_setuid,cap_dac_override,cap_sys_admin - ну и чем это отличается от root'а? Тем, что до него надо будет сделать еще один шаг? Впрочем, в случае некоторых уязвимостей, которые не позволяют прям сразу выполнить произвольный код, разница может быть более существенной.

...А еще им надо будет перейти на tcb и отказаться от SUID'а на passwd. :-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от НеДобрый Аноним on 29-Окт-10, 19:07 
Я думаю что он руководствуются простым принципом: меньше кода - меньше дыр.
Если, например, посмотреть на sendmail, то у него стоит sgid, а дыр в нем находили не мало...
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

24. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от Аноним (??) on 29-Окт-10, 22:22 
> Еще одна проблема - часть capabilities почти эквивалентны root'у. Например,
> policycoreutils_setuid.patch на который есть ссылка с Features/RemoveSETUID, раздает cap_setuid,cap_dac_override,cap_sys_admin - ну и чем это отличается от root'а? Тем, что до него надо будет сделать еще один шаг? Впрочем, в случае некоторых уязвимостей, которые не позволяют прям сразу выполнить произвольный код, разница может быть более существенной.

это набор capabilites - практически 98% возможностей рута, самое главное хватит что бы загрузить модуль с руткитом в ядро (insmod контролируется cap_sys_admin).

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

35. "Fedora на пути полного ухода от использования suid-программ ..."  +1 +/
Сообщение от paxuser (ok) on 30-Окт-10, 07:47 
> теряет смысл. Кстати, традиционный сисадминский подход с заходом под пользователем и
> использованием su/sudo не выдерживает анализа и критики:

Тут на мой взгляд беда в том, что пользователи (да и многие разработчики) питают симпатии к своим любимым системам и не готовы расстаться со сладкими заблуждениями о безопасности - слишком уж правда горька. И потому по сути бесполезные в плане безопасности ритуалы с sudo и su будут продолжаться.

> http://www.openwall.com/lists/owl-users/2004/10/20/6

Кстати, с тех пор в sudo появилась опция env_reset.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

38. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от szh (ok) on 30-Окт-10, 14:43 
> Если же в дистрибутиве все равно оставлять su, sudo и т.п., это теряет смысл.

ими можно не пользоватся, а в это время capabilities будут делать свою работу.

> часть capabilities почти эквивалентны root'у.

непонятно почему не сделали большее кол-во capabilities, кто мешал сделать 128 штук, кому нужна обратная совместимость если ими все равно никто не пользовался.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

42. "Fedora на пути полного ухода от использования suid-программ ..."  +1 +/
Сообщение от Аноним (??) on 31-Окт-10, 10:34 
потому что до 2.6.24 на это выделялся ровно один unsigned int (32bit) - позже сделали больше их, но все равно расширенными фик кто пользуется..

в этом отношении более оптимально поступили в FreeBSD - когда rwatson@ закомитил свой аналог capabilites - их сразу было больше 30 и они более равномерно покрывали возможности супер пользователя.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

48. "Fedora на пути полного ухода от использования suid-программ ..."  +1 +/
Сообщение от solardiz (ok) on 08-Ноя-10, 09:18 
Я поднял тему на oss-security, таким образом доведя свои соображения/опасения до разработчиков Fedora и Ubuntu:

http://www.openwall.com/lists/oss-security/2010/11/08/3

Может быть, это поможет делу.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Fedora на пути полного ухода от использования suid-программ ..."  +1 +/
Сообщение от Аноним (??) on 29-Окт-10, 18:47 
Не прошло и 15 лет с внедрения capabilities в ядро, как их начали использовать для полной замены suid'а.

В целом, конечно, очень позитивная новость, жаль только, что для её появления жареному петуху пришлось целый месяц долбить всех по темени. И да, на переносимости скажется :(

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от ананим on 30-Окт-10, 00:50 
так в посикс их так и не взяли.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от Etch on 29-Окт-10, 21:24 
> например, делает невозможным эксплуатацию уязвимости в glibc

А вот и нифига, вместо ping в этой уязвимости можно юзать что угодно - sudo в том числе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от Frank email(??) on 31-Окт-10, 11:55 
Если уязвимость в коде ping, то как вы будете юзать её в sudo? Вот если уявзимость будет в sudo, тогда пожалуйста. Впрочем, сокращение suid'ных файлов ведь уменьшает поле деятельности хакеров, не так ли?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

47. "Fedora на пути полного ухода от использования suid-программ ..."  +1 +/
Сообщение от Etch on 01-Ноя-10, 08:33 
Читайте новость по уязвимостям в glibc - там достаточно наличия в системе любой суидной программы, наличие уязвимости в этой программе не требуется.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

23. "Fedora на пути полного ухода от использования suid-программ ..."  –2 +/
Сообщение от User294 (ok) on 29-Окт-10, 22:14 
Выглядит неплохо. Только вот какие гарантии что новых дыр не налепят с этими Capabilities? Это они ожегшись на дырах в libc решили так подтянуть гайки?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Fedora на пути полного ухода от использования suid-программ ..."  –3 +/
Сообщение от Иван Иванович Иванов on 29-Окт-10, 23:00 
Заняться нечем.

В X.org сервере куча багов, в Gnome/KDE сотни сли не тысячи багов - они занимаются setuid бинарниками. Тьфу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от ананим on 30-Окт-10, 00:51 
>В X.org сервере куча багов,

каких?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от Иван Иванович Иванов on 30-Окт-10, 12:35 
>>В X.org сервере куча багов,
> каких?

Модераторы трут сообщения со звёздочками, вместо мата - печально.

https://bugs.freedesktop.org/show_bug.cgi?id=25497

И ещё не меньше сотни серьёзных багов.

Но вы минусуйте меня дальше, фанатики. Близорукость не вылечить.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Fedora на пути полного ухода от использования suid-программ ..."  +3 +/
Сообщение от paxuser (ok) on 30-Окт-10, 07:26 
Тенденция хоть и похвальна, но проблему с безопасностью самого ядра дистростроители по-прежнему обходят стороной, а ведь она стоит очень остро. Например, последняя уязвимость в RDS гораздо опаснее уязвимостей в glibc (хотя последние и нагляднее в эксплуатации), поскольку позволяет не только переписать *uid/*gid процесса, но и вернуть его из chroot, из любых namespace'ов, вернуть любые отнятые capabilities, отключить LSM, включая распиаренный SELinux, извлечь криптоключи из памяти ядра так далее. При этом адреса объектов ядра (kallsyms) для заранее собранных ядер известны, а работа со структурами, описывающими процесс, достаточно проста и практически не создаёт рисков обрушения ядра. И таких уязвимостей, по мнение экспертов (включая Дэна Розенберга), в ядре очень много.

Можно стремиться довести безопасность юзерленда до совершенства, и это очень хорошо, но ограничиваясь только юзерлендом, защитить систему на должном уровне не удастся, и это факт.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Fedora на пути полного ухода от использования suid-программ ..."  –1 +/
Сообщение от ghosthunter email on 31-Окт-10, 03:58 
Читайте пропатченный копипаст этой же новости на ЛОРе, там намного правдоподобнее получилось, это я вам гарантирую ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от СуперАноним on 31-Окт-10, 11:07 
А, может, не стоило городить в ядре переключение видеорежимов, а X серверу вместо SUID дать CAP_SYS_RAWIO ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Fedora на пути полного ухода от использования suid-программ ..."  +/
Сообщение от tux2002 email(ok) on 31-Окт-10, 17:48 
> А, может, не стоило городить в ядре переключение видеорежимов, а X серверу
> вместо SUID дать CAP_SYS_RAWIO ?

Я смог запустить X сервер c capabilities только с драйвером vesa. Какие capabilities точно не помню но rawio и что-то с доступом к /dev/kmem и т.п. Сами драйвера требуют чего то большего, я уже не стал разбираться....

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру