[sisyphus] I: tcb scheme implemented for Sisyphus

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_alt-linux=2Eorg?=
Чт Дек 20 18:24:17 MSK 2001


Greetings!

Сизиф перешел на новую схему хранения паролей и авторизации по ним.
Название tcb восходит к понятию Trusted Computing Base из Orange Book.
Данная технология является воплощением принципа минимизации прав доступа и
позволяет, в частности, снизить права программам, осуществляющим доступ к
shadow, с suid-root до sgid-shadow и sgid-chkpwd.

Изменениям были подвергнуты следующие пакеты:
pam
pam-config
passwd
setup
shadow
tcb
vlock
xlockmore
kdebase

При этом в составе привилегированных программ произошли следующие
изменения:
/lib/helper/unix_chkpwd (suid-root) --> /sbin/chkpwd.d/tcb_chkpwd (sgid-shadow)
/usr/bin/passwd: suid-root --> sgid-shadow
/usr/bin/chage: suid-root --> sgid-shadow
/usr/bin/vlock: none --> sgid-chkpwd
/usr/X11R6/bin/xlock: none --> sgid-chkpwd
/usr/bin/kcheckpass: none --> sgid-chkpwd

Суть нового принципа хранения состоит в том, что вместо одного файла
/etc/shadow для всех теперь применяется /etc/tcb/<user>/shadow для каждого
пользователя. Детали реализации см. в tcb(5) из пакета tcb-utils.

Вследствие этого программа, желающая проверять пароль текущего
пользователя, должна быть sgid-chkpwd.

Меры предосторожности:
До начала обновления необходимо обеспечить наличие рутового shell'а на
момент окончания обновления, чтобы, в случае неудачи обновления файла
/etc/pam.d/system-auth, можно было его поправить.

Переход на tcb scheme должен произойти автоматически во время обновления
(рекомендую apt-get dist-upgrade).

Banner:
Переход на TCB стал возможным благодаря огромной работе, проделанной
авторами TCB (см. /usr/share/doc/libtcb-0.9.7/LICENSE):
Copyright (c) 2001 Rafal Wojtczuk <nergal на owl.openwall.com> - автор
Copyright (c) 2001 Solar Designer <solar на owl.openwall.com> - соавтор, аудит кода
Copyright (c) 2001 Dmitry V. Levin <ldv на alt-linux.org> - аудит кода


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20011220/b9915964/attachment-0012.bin>


Подробная информация о списке рассылки Sisyphus