[devel] Q: wireshark и "--enable-setuid-install"

Alexey I. Froloff =?iso-8859-1?q?raorn_=CE=C1_altlinux=2Eru?=
Вс Мар 9 10:51:57 MSK 2008


Я собираюсь повесить "suid'ность" wireshark на control(8).  Пара
слов о том, в чём она заключается.

В прошлой версии аффтары реализовали механизм privilege
separation.  Теперь сеть слушает только один процесс dumpcap,
отдавая сырой поток основной программе через пайп.  Эта и только
эта программа теперь имеет право запускаться с правами
привелигерованного пользователя.

Таким образом ошибки в диссекторах теперь позволяют выполнять
произвольный код только в окружении запустившего это решето
пользователя (сам wireshark матерно ругается когда его запускают
от root).

Состояния об'екта wireshark_capture (не слишком длинно?) думаю
будут такие:

restricted - root:root 700
netadmin - root:netadmin 4710
public - root:root 711

Собсно, вопрос:

Я не уверен, надо ли позволять ващще всем капчурить сеть
(suid'ный public) и будут ли хоть что-то работать в режиме public
(как тут с tun/tap?).  Ну и интересует состояние по умолчанию.

-- 
Regards,
Sir Raorn.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/6728a930/attachment-0002.bin>


Подробная информация о списке рассылки Devel