[devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

Aleksey Avdeev =?iso-8859-1?q?solo_=CE=C1_solin=2Espb=2Eru?=
Вт Сен 2 15:00:30 MSD 2008 

Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 16:07 "AA" == Aleksey Avdeev writes:
> 
> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
> AA> принадлежать root`у.
> 
> Нет. Изучите внимательно http://docs.altlinux.ru/alt/devel/ch01s03.html

   Цитирую:

Владельцы файлов

Пакеты НЕ ДОЛЖНЫ содержать файлы, принадлежащие псевдо-пользователям, 
если в процессе работы к этим файлам осуществляется доступ процессов с 
другим uid либо с более широкими правами доступа. К таким файлам, в 
частности, относятся исполняемые, конфигурационные и неизменяемые файлы.

Обоснование: Псевдо-пользователь не должен иметь право изменять эти 
файлы; нарушение этого правила, как правило приводит к очевидной 
возможности осуществления pseudouser/root compromise.
Владельцы каталогов

Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. 
Вместо этого следует использовать каталоги, принадлежащие root, с 
установленным sticky bit и доступом группы по записи.

Обоснование: Псевдо-пользователь не должен иметь право изменять атрибуты 
каталогов, а также файлы и каталоги, созданные другими пользователями; 
нарушение этого правила, как правило приводит к возможности 
осуществления pseudouser/root compromise.

> 
> AA>   В то же время для веб приложений (да и самих веб серверов) актуально
> AA> следующие (считаем что webmaster -- пользователь отличный от root и
> AA> имеющий обязанности вебмастера):
> 
> AA> 1. Есть файлы которые имеют права создавать/редактировать как
> AA> вебсервер так и webmaster.
> 
> 664/660 webmaster:_webserver
> 
> AA> 2. Есть каталоги, содержимое которых имеют право менять как вебсервер
> AA> так и webmaster.
> 
> 1770/0770 webmaster:_webserver
> 
> AA>   Я слабо представляю как это разрулить в полном объёме: Если
> AA> п. п. 1,2 можно решить, включить webmaster`а одну группу с
> AA> вебсерверами, то как быть с п. 3 -- я не понимаю... :-/
> 
> Ну если приять тот факт, что webmaster - это не псевдопользователь, то всё
> укладывается в policy ;)

   Да. Но тогда у нас получается что есть специализированный, _заранее_ 
заданный пользователь, являющийся вебмастером... Не слишком ли это жёстко?

   А если мы примем, что что вебмастер -- это _любой_ пользователь 
входящий в группу webmaster (что на мой взгляд болие правельно), то я не 
вижу решения без привлечения sudo.

-- 

С уважением. Алексей.


----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 552 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20080902/b9ac42f8/attachment-0002.bin>

Подробная информация о списке рассылки Devel