[devel] Q: wireshark и "--enable-setuid-install"
Alexey I. Froloff
=?iso-8859-1?q?raorn_=CE=C1_altlinux=2Eru?=
Вс Мар 9 10:51:57 MSK 2008
Я собираюсь повесить "suid'ность" wireshark на control(8). Пара
слов о том, в чём она заключается.
В прошлой версии аффтары реализовали механизм privilege
separation. Теперь сеть слушает только один процесс dumpcap,
отдавая сырой поток основной программе через пайп. Эта и только
эта программа теперь имеет право запускаться с правами
привелигерованного пользователя.
Таким образом ошибки в диссекторах теперь позволяют выполнять
произвольный код только в окружении запустившего это решето
пользователя (сам wireshark матерно ругается когда его запускают
от root).
Состояния об'екта wireshark_capture (не слишком длинно?) думаю
будут такие:
restricted - root:root 700
netadmin - root:netadmin 4710
public - root:root 711
Собсно, вопрос:
Я не уверен, надо ли позволять ващще всем капчурить сеть
(suid'ный public) и будут ли хоть что-то работать в режиме public
(как тут с tun/tap?). Ну и интересует состояние по умолчанию.
--
Regards,
Sir Raorn.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: Digital signature
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20080309/6728a930/attachment-0002.bin>
Подробная информация о списке рассылки Devel