[sisyphus] По поводу /usr/sbin/control и su

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_altlinux=2Eorg?=
Вт Апр 1 19:02:07 MSD 2003 

On Tue, Apr 01, 2003 at 08:35:24AM +0700, Alexey Morozov wrote:
> On Tue, Apr 01, 2003 at 01:02:06AM +0400, Dmitry V. Levin wrote:
> > 2. Поскольку обновление завершено, осталось запустить control и проверить,
> > все ли значения соответствуют ожидаемым. При дальнейших обновлениях su (и
> > др.) их нынешние состояния будут сохранены.
> Ну, это, в общем, уже более-менее понятно.
> 
> > 3. Если кто-нибудь придумает способ решения проблемы обновления в п.1,
> > который бы не жертвовал безопасностью системы на момент обновления или по
> > окончании обновления, то это стоит обсудить.
> Гхм... (Шёпотом, чтоб не убили сразу): добавлять фазу интерактивной
> конфигурации в пэкедж-мэнеджер, как в... ой!.. молчу!..
> 
> Впрочем, если серьезно, то нынешняя ситуация чревата капитальным DoS'ом,
> особенно в условиях удаленного или автоматического пакетного обновления.
> Как ее решать? А точно не удастся подобрать каким-либо "автоматическим
> способом" конфигурацию control'а, которая бы более-менее соответствовала
> настройкам по состоянию до начала обновления? Ведь не секрет, что количество
> людей, правящих ПАМовские настройки сравнительно невелико, а людей,
> _серьезно_ правящих /etc/pam.d/* - и того меньше. То есть, довольно велики
> шансы попасть на дистрибутивную или около того конфигурацию некоторой
> службы. Ну, то есть, например, в случае su, я думаю, подавляющее большинство
> устроил бы public или wheel, в зависимости от того, была ли включена у них
> pam_wheel.so в /etc/pam.d/su до обновления или нет. То есть, понятно, что
> не серебряная пуля, но и не то <beep> с машиной, затерянной в какой-нибудь
> давно не открывавшейся серверной посреди глухой сибирской тайги (вариант:
> аризонской пустыни, южноафриканской саванны).

Проблема как раз в том, что эвристические соображения, позволяющие
установить режим, на момент установки нового пакета ещё не установлены.


--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/sisyphus/attachments/20030401/d3e7f0d1/attachment-0010.bin>

Подробная информация о списке рассылки Sisyphus