[castle] updatedb & /usr/share/msec/security.sh
Stanislav Ievlev
inger на altlinux.ru
Пн Июн 18 13:15:06 MSD 2001
Спасибо за проверку. Это действительно нехорошо получается.
Я теперь окончательно решил перейти с "execute only" на "read only".
Теперь проблем должно быть на порядок меньше.
Советую всем сделать то же. Для примера смотрите secfiles -alt14. Но
ВНИМАНИЕ - пока не подошло новое ядро - он не будет автоматически
расставлять права.
Что творится с RC (NOT_GRANTED на /) пока не знаю, т.к. сам на это еще
не напарывался.
--------------------------------------------------
Станислав Иевлев.
Dmitriy Gnidchenko wrote:
>Доброе время суток!!!
>
> /usr/sbin/updatedb: /usr/sbin/updatedb: Operation not permitted
>
> May 18 22:46:40 himera kernel: rsbac_adf_request(): request READ_OPEN,
> caller_pid 1747, caller_prog_name updatedb, caller_uid 0, target-type FILE,
> tid Device 3:6 Inode 6084 Path //sbin/updatedb, attr none, value 0, result
> NOT_GRANTED by FF
>
>Разрешил к файлу доступ модуль FF READ_OPEN
>
>после чего начало выдавить
>
>updatedb ... request SEARCH ... NOT_GRANTED by RC
>slocate ... request READ ... NOT_GRANTED by RC
>
>May 18 23:04:32 himera kernel: rsbac_adf_request(): request SEARCH, caller_pid
>2456, caller_prog_name updatedb, caller_uid 0, target-type DIR, tid Device 3:7
>Inode 2 Path //, attr none, value 0, result NOT_GRANTED by RC
>и т.д.
>
>Ну тут тоже вроде ясно что делать надо (правда пока не разобрался как, но
>это уже лично моя проблема.)
>
>[root на himera dima]# /usr/share/msec/security.sh
>sha1sum: /bin/mount: Operation not permitted
>sha1sum: /bin/ping: Operation not permitted
>sha1sum: /bin/su: Operation not permitted
>sha1sum: /bin/umount: Operation not permitted
>sha1sum: /sbin/unix_chkpwd: Operation not permitted
>sha1sum: /usr/bin/at: Operation not permitted
>sha1sum: /usr/bin/chage: Operation not permitted
>sha1sum: /usr/bin/chfn: Operation not permitted
>sha1sum: /usr/bin/chsh: Operation not permitted
>sha1sum: /usr/bin/gpasswd: Operation not permitted
>sha1sum: /usr/bin/newgrp: Operation not permitted
>sha1sum: /usr/bin/passwd: Operation not permitted
>sha1sum: /usr/bin/sperl5.6.0: Operation not permitted
>sha1sum: /usr/bin/sudo: Operation not permitted
>sha1sum: /usr/bin/suidperl: Operation not permitted
>sha1sum: /usr/bin/urpmi: Operation not permitted
>sha1sum: /usr/sbin/suexec: Operation not permitted
>sha1sum: /usr/sbin/usernetctl: Operation not permitted
>sha1sum: /usr/sbin/traceroute: Operation not permitted
>
>...request READ_OPEN ... NOT_GRANTED by FF
>
>Приходится руками разрешать доступ к файлам на чтение.
>Это было и в певрой бете.
>может есть необходимость задать это при конфигурации RSBAC ???
>
>Хотя конечно трудно за рание сказать какие файлы будут установлены, а
>какие нет.
>
Подробная информация о списке рассылки Castle