[devel] Q: wireshark и "--enable-setuid-install"

[Dmitry V. Levin]

On Sun, Mar 09, 2008 at 05:22:39PM +0300, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [080309 16:39]:
> > > В прошлой версии аффтары реализовали механизм privilege
> > > separation.  Теперь сеть слушает только один процесс dumpcap,
> > > отдавая сырой поток основной программе через пайп.  Эта и только
> > > эта программа теперь имеет право запускаться с правами
> > > привелигерованного пользователя.
> > А этот привилегированный процесс dumpcap имеет смысл запускать отдельно
> > от других процесов wireshark?
> В каком смысле?  На самом деле dumpcap запускается самими
> wireshark и tshark и принимают от него сырой поток данных.
> 
> Оно суидное, выставляет капабилити, сбрасывает привилегии, как
> раньше сам *shark делал.  Помойму не чрутится, но можно
> прикрутить.

Если привилегированный dumpcap executable имеет смысл запускать только
wireshark'у, то лучше сделать так, чтобы остальные процессы не имели прав
запускать этот привилегированный dumpcap executable.

По аналогии с libutempter, можно завести какую-нибудь группу _dumpcap,
сделать какой-нибудь каталог /usr/libexec/dumpcap c правами доступа
%attr(0750,root,_dumpcap), положить dumpcap executable в этот каталог,
и повесить set-gid _dumpcap на те executables, которые должны иметь право
запускать dumpcap executable.  Желательно ещё сделать так, чтобы эти
приложения сбрасывали set-gid _dumpcap.

> Дырявость диссекторов это тем не менее не компенсирует.

Их бы тоже куда-нибудь засунуть, чтобы не высовывались.


-- 
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 197 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20080310/8629689f/attachment-0002.bin>