Старый 05.09.2012, 22:16   #11
dasknix
 
Аватар для dasknix
 
Регистрация: 30.07.2010
Сообщений: 20
Репутация: 0
По умолчанию

Цитата:
Сообщение от DrakonHaSh Посмотреть сообщение
ой, было столько умных фраз, выражений и букавак, что я этот нюанс немного пропустил
а защита - это да, очень забавно. защита от того, что входит в базовый функционал оси - это конечно прикольно.
может лучше админу, который серваком занимается, вникнуть в права на файлы и каталоги ? а то за админом, который так косячит, много разных защит придется писать

хотя, конечно, если заняться этой задачей серьезно, то можно наверное почти руткит написать - чтоб он менял базовое поведение оси на "защищенное от горе админа"
тут Pashkela расписывал о том, как систему отъучать от нормального для нее поведения.
каких буковок? в первом посте третьем предложении нописано что вопрос о защите. аы?
админу.. вникнуть.. - тайну открою наверно, но этим подходом (любой хостинг открой - иксов тебе будет тонны по дереву) весь мир пользуется, за исключением милитрактаристов, ито не всегда, мозг им в почку. аы?
причем тут руткит если речь идёт о стандартных способах? аы?! фывылтыч!11

внимательность, хеллоооооууу!..

зы
и ещё раз - если у каблука нагрузки нет - не пишите.. пож-та..
хотелось бы всё же мнение ядерщиков услышать )
__________________
[r@/]# rm -Rf / --no-recover
dasknix вне форума   Ответить с цитированием
Старый 05.09.2012, 22:53   #12
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

физик-ядерщик сойдёт?
12309 вне форума   Ответить с цитированием
Старый 05.09.2012, 23:35   #13
~Shapaev~
 
Регистрация: 08.07.2010
Сообщений: 3
Репутация: 0
По умолчанию

nobody просил передать:

Цитата:

1) если сервак твой, то в чем проблема все файлы заовнить руту и рекурсивно сделать права 000? Руту на них плевать, можно и листинг диры, и читать файлы
2) root:ugroup на все файлы, права 710 на папку и подпапки 750 на файлы, и в ugroup добавляй юзеров кому доступ положен.
3) что за бред про cat по "devname" файла?
4) получил возможность выполнения кода в кернел спейсе - похер что ты там придумаешь - файлы можно будет достать, так что я не понимаю "мыслей вслух" о каких то низкоуровневых обертках и "чтения напрямую из fs"
5) man 7 capabilities /CAP_DAC_READ_SEARCH

~Shapaev~ вне форума   Ответить с цитированием
Старый 05.09.2012, 23:54   #14
dasknix
 
Аватар для dasknix
 
Регистрация: 30.07.2010
Сообщений: 20
Репутация: 0
По умолчанию

Цитата:
Сообщение от ~Shapaev~ Посмотреть сообщение
nobody просил передать:
ща посплю отпишу, надо от девайсов всех отдохнуть немного, в кратце если: у меня к примеру мускул-сокет в отд. созданной дире лижет и она и всё что выше имеет o+x, сделал овнером конечно уже типа mysqld:mysqld только не везде так можно, и в ряде конфигураций апача приходится на все каталоги внутри vhost web-root ставить o+x, когда jail и suPHP etc - не вариант
__________________
[r@/]# rm -Rf / --no-recover

Последний раз редактировалось dasknix; 05.09.2012 в 23:59..
dasknix вне форума   Ответить с цитированием
Старый 06.09.2012, 02:13   #15
16bit
 
Регистрация: 16.06.2011
Сообщений: 66
Репутация: 9
По умолчанию

Цитата:
Сообщение от dasknix Посмотреть сообщение

не совсем, речь немного о другом, представь каталог:
Это понятно.

Я вообще предположил,что ты в итоге захочешь написать модуль для ядра,который бы хукал sys_read или sys_stat на предмет обращения к списку директорий, которых бы ты хотел обезопасить.

ну и при излишне любопытном взгляде просто отдавала бы то,что нужно админу (попутно проверяю пид запросившего юзера,например)


поэтому и спросил под какую ось тебе нужно - так как возможно,что уже есть какие-то подобные наработки для твоей версии ОС.


как-то так
16bit вне форума   Ответить с цитированием
Старый 06.09.2012, 02:37   #16
dasknix
 
Аватар для dasknix
 
Регистрация: 30.07.2010
Сообщений: 20
Репутация: 0
По умолчанию

Цитата:
Сообщение от 16bit Посмотреть сообщение
Это понятно.

Я вообще предположил,что ты в итоге захочешь написать модуль для ядра,который бы хукал sys_read или sys_stat на предмет обращения к списку директорий, которых бы ты хотел обезопасить.

ну и при излишне любопытном взгляде просто отдавала бы то,что нужно админу (попутно проверяю пид запросившего юзера,например)


поэтому и спросил под какую ось тебе нужно - так как возможно,что уже есть какие-то подобные наработки для твоей версии ОС.


как-то так
оу. ну конкретно у меня фри) 9.0-RELEASE amd64. было бы интересно взглянуть, и на сорцы безусловно. вопрос просто задан был в контексте стандартных средств именно потому что - wtf неужели никто до сих пор не продумал такой простой способ получения инфы и обезопасил от него вроде бы такую крутую полупромышленную систему?!
..а OpenBSD к примеру, там ведь точно так же всё, да? ) highly secure, m'f.. =\
__________________
[r@/]# rm -Rf / --no-recover
dasknix вне форума   Ответить с цитированием
Старый 06.09.2012, 02:39   #17
dasknix
 
Аватар для dasknix
 
Регистрация: 30.07.2010
Сообщений: 20
Репутация: 0
По умолчанию

Цитата:
Сообщение от 12309 Посмотреть сообщение
физик-ядерщик сойдёт?
и физики и метатели и глубинные геологи и артеллиристы! мне всё что с ядрами связано, пож-та!!! >.<
__________________
[r@/]# rm -Rf / --no-recover
dasknix вне форума   Ответить с цитированием
Старый 06.09.2012, 10:07   #18
SynQ
 
Регистрация: 11.07.2010
Сообщений: 954
Репутация: 352
По умолчанию

Если смотреть со стороны ядра, то можно поставить хук на open() и что-то вроде такого (очень криво и на скорую руку):
Код:
int counter = 0;
if(права на диру, в которой открывается файл, для того кто его открывает = X, но != RW)
{
  if(counter>50)
     return 0
  else 
     counter++;
}
original_open()
PS Но тогда брутить можно через другие сисколлы, вроде stat() et cetera.

Последний раз редактировалось SynQ; 06.09.2012 в 10:13..
SynQ вне форума   Ответить с цитированием
Старый 06.09.2012, 13:32   #19
16bit
 
Регистрация: 16.06.2011
Сообщений: 66
Репутация: 9
По умолчанию

Цитата:
Сообщение от SynQ Посмотреть сообщение
PS Но тогда брутить можно через другие сисколлы, вроде stat() et cetera.

именно это я и имел ввиду,упоминая слово 'костыли' в своем посте - слишком много сисколов придётся мониторить и фильтровать в итоге.

учитывая,что это рабочая система,где количество сисколов,работающих с файловой системой безумное количество - всё чревато тормозами и глюками в системе ^_^.
16bit вне форума   Ответить с цитированием
Старый 06.09.2012, 14:13   #20
b3
 
Аватар для b3
 
Регистрация: 18.08.2010
Сообщений: 354
Репутация: 105
По умолчанию

Так а в чем проблема-то? Чем вас не устраивают стандартные права доступа? Наркоманская тема. Вам же предложили права типа 600, от брута спасают.
ЗЫ Уважаемые, если вам не трудно, давайте без этого вот:
Цитата:
аы?! фывылтыч!11
Цитата:
>.<
Цитата:
^_^
няшки вы наши.

Последний раз редактировалось b3; 06.09.2012 в 14:17..
b3 вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd. Перевод: zCarot