[devel] Q: hiding security sensitive info

[Denis Ovsienko]

> Прочитал ещё раз вопрос и понял - в этом случае ничто не помешает
> загрузить на хост и запустить статически слинкованный бинарник who. Но
> это значительно усложнит жизнь злоумышленнику. Особенно если доступа к
> средствам загрузки тоже нет.
ssh == scp. Или на худой конец закинуть в терминал hexdump, а на хосте его
сконвертировать со стандартного ввода назад и записать в файл. Или
netcat'ом. Или ещё 1000 способов.

> Данный вопрос можно распространить на информацию, выдаваемую следующими
> утилитами: dmesg, mount, netstat, ps, uname, df, free, last, lastlog,
> id, groups, pstree, quota, fdisk, chkconfig, lsmod, ifconfig, ip, route
> и многими других.
Тут нужно блокировать API, который эту информацию предоставляет. Кто-то,
мне помнится, хвастался, что крутил какую-то систему и запретил руту
создавать файлы, а пользователю разрешил поднимать сетевые интерфйесы. Не
RSBAC ли...


--
    DO4-UANIC