[devel] Q: hiding security sensitive info

Пт Дек 5 03:39:54 MSK 2003

On Thu, Dec 04, 2003 at 07:54:44AM +0200, Denis Ovsienko wrote:

> ssh == scp. Или на худой конец закинуть в терминал hexdump, а на хосте его
> сконвертировать со стандартного ввода назад и записать в файл. Или
> netcat'ом. Или ещё 1000 способов.

Какой терминал или scp? Ситуация - web сервер с дырявым PHP скриптом,
который позволяет выполнять системные команды. Но одно большое НО - у
пользователя nobody нет доступа к содержимому /bin, /usr/bin, /sbin и
так далее. Как в такой ситуации злоумышленник сможет создать файл в
хост системе? Я не знаю пока.

> Тут нужно блокировать API, который эту информацию предоставляет. Кто-то,
> мне помнится, хвастался, что крутил какую-то систему и запретил руту
> создавать файлы, а пользователю разрешил поднимать сетевые интерфйесы. Не
> RSBAC ли...

А вот это right way :

-- 
With best regards, Anton V. Denisov.
In silent deep without hope.
'-- MARK --' is my favourite log-entry.