Spotkanie PLUG - 03.XI.1999
Drugie sprawozdanie, wprawdzie trochę spóźnione, ale jest... Jak
poprzednio, krótki opis tego co się działo: Emil Stępniewski opowiadał o tym
jak w elementarny sposób zabezpieczyć własny system przed intruzami. Można
było posłuchać o blokowaniu dostępu do różnych rzeczy, o ograniczeniach jakie
można nałożyć na użytkowników, co to jest SUID i z czym to się je, trochę o
różnych metodach "włamywania się" i sposoby ochrony przed nimi. Na razie nie
przygotowałem kompletnego opisu, ale wkrótce się on tu pojawi ( zawsze się
tak mówi... ;) ). Uzupełnienia do pogadanki:
- Emil miał powiedzieć, ale zapomniał: plik /etc/shells zawiera spis
wszystkich dostępnych shelli (interpreterów poleceń) - jeśli shell
przypisany do użytkownika nie jest wymieniony w tym pliku, to użytkownik
nie ma możliwości zalogowania się.
- chmod o+s nie daje żadnego efektu - nie ma komunikatu o błędzie, ale
też bit nie jest ustawiany
- podobnie chmod ug+t nie daje rezultatów
- jeśli jakiś katalog ma ustawiony tylko prawo "r", to można obejrzeć
listę plików w nim zawartych - ale nie można poznać np. ich długości bądź
typu (czyli katalogi wyglądają tak samo jak pliki)
- program w C nie musi zawierać wywołania instrukcji "setuid", żeby można
było go "suidować"
- zdaje się, że nie we wszystkich dystrybucjach urządzenia (niektóre, np.
/dev/dsp) automatycznie mają ustawianego właściciela na pierwszego
aktualnie zalogowanego użytkownika...
- jeśli plik jest kasowany, ale w dalszym ciągu używany, to quota nie
traktuje go jak usuniętego
- plik /etc/security/limits.conf (od PAMa) pozwala na definiowanie
ograniczenia górnej ilości wykorzystywanych: czasu procesora, pamięci,
sesji (liczba jednoczesnych zalogowań), itp.
Zabrakło czasu żeby można było opowiedzieć o zabezpieczaniu sieci pod
Linuxem. Może Emil dokończy na następnym wykładzie, może kiedy indziej (bo
planowo na następnym spotkaniu mam ja opowiadać o pakietach RPMa, ale może
zmieścimy i to i to).
Do zobaczenia w następną środę (10.XI).