ls -1TörténelemHUP adás-vételNépszerű témákNépszerű fórum témákHardverAjánlott böngésző Linux Weekly NewsFreeBSD Project NewsOpenBSD Journal |
A Fedora 12-ben a privilégium nélküli, helyi konzol felhasználók csomagokat telepíthetnek jelszó nélkülFelborzolta a kedélyeket a nemrég kiadott Fedora 12 egy új jellegzetessége. A disztribúció készítői úgy állították össze a rendszert, hogy a PackageKit alapértelmezetten megengedi, hogy a helyi konzol felhasználók (a remote login felhasználók nem) digitálisan aláírt tárolókból digitálisan aláírt csomagokat telepíthessenek fel jelszó megadása nélkül. Azaz, a rendszeren engedélyezett hivatalos tárolókból bármelyik helyi felhasználó telepíthet csomagokat. Telepíthet, de el nem távolíthat. A felhasználók közül vannak, akik ezt bug-nak vélik, vannak akik elégedetlenek ezzel a beállítással. A disztribúció készítői közül vannak, akik ezt "feature"-nek és nem bug-nak tartják. Mindenesetre a bug vagy szolgáltatás hosszú szálat generált a fedora-devel listán. A dolog ellenzői, például Jeff Garzik szerint ez buta dolog és biztonsági szempontból problémás. Vannak, akik szerint a helyi konzol felhasználó egyszerűbb módját is megtalálhatja annak, hogy változtasson a rendszeren. A probléma Fedora Engineering vezetőbizottság előtti megvitatására javaslatot tettek.
»
|
KeresésNavigációBelépésHupWikiÁllásajánlatokHWSWFriss blogbejegyzések
HUP napi hírlevélLegfrissebb HUP videókLegfrissebb HUP képekLegfrissebb HUP dokumentumokSzavazásMit tudsz a B-tree struktúráról? Részletekbe menően ismerem a felépítését, funkcióját, határait és felhasználását. 11% Kevésbé ismerem, mint az első pontban, de hozzá tudok szólni a témához. 19% Használom, de nem ismerem minden részletét. 4% Hallottam már róla, minimális mértékben ismerem. 28% Egyáltalán nem ismerem. 32% Csak az eredmény érdekel. 6% Összes szavazat: 476
Új felhasználók
InformációKövess minket!Partnerünk |
Ennek így, ebben a formában nem sok értelmét látom.
Bug vagy feature?
És vajon ez be fog kerülni a Redhat-be?
--
robyboy
Szerintem a Windows nem felhasználóbarát.
Ha az lenne, nem utálnám.
Bug.
---
pontscho / fresh!mindworkz
Bug. Mezei user hallotta, hogy van XYZ software ami remekul exploitalhato, es amugy a rendszer adminja fel sem akarta volna tenni, se emiatt, se mas okok miatt (pl nincs ra szukseg), mezei user felrakja, bugot pl kihasznalja ...
Ezt nagyon jó tudni, ámbátor nekem személy szerint jól jönne, ha nem kellene minden egyes apró csomagért a rendszergazdához könyörögnöm, hogy telepítse fel, mert nekem kellene a munkához. Ugyanakkor belátom, hogy az sem lenne okos gondolat, ha a hallgatók ugyanazon a gépen bármit feltehetnének a repókból (pl. snort és hasonló malacságok).
Azért köszi a figyelmeztetést, mert figyelmeztethetem a rendszergazdit, aki sajnos minimális linux ismeretekkel rendelkezik...
Csaba
az milyen rendszergazda aki a changelogot se olvassa el, csak dobja egyből fel a friss release-t?
No rainbow, no sugar
átlagos.
Ha eljössz hozzánk bemutatom neked :-)
Csaba
Olyan aki nem egy mainframe-et uzemeltet csak a sajat desktopjat es nem tolti az idejet napi szinten change-logok bogaraszasaval, hanem a munkajat vegzi?
R=1 bármit telepíthet? wtf?
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.
Ez enlkul is igy volt... ha van futtatasi jog a home particiojan (ami szokott).
Nem egészen. Ha pl. van egy programcsomag, amihez létezik local-root exploit, de az a csomag éppen nincs föltelepítve, akkor a böngésződet, vagy leveleződet érő támadás először telepíti a szükséges csomagot, majd futtatja az exploit-ot.
úgy lenne jó, ha be/ki lehetne kapcsolni. akinek kell bekapcsolja, akinek nem letiltja.
Kapcsolhato ;) A problema az, hogy ha nem akarod ezt a "remekul dokumentalt" feature-t, akkor le kell tiltatod. Ez a default. Beteg, tenyleg.
Ugyan, ez egy tok jo eszkoz a rendszergazda kezeben. Ha a felhasznalok/fonokeik kikovetelik ennek a hasznalatat siman kozolheti barmilyen problema eseten, h bocsi, nem tudom mit muveltek a felhasznalok a gepen, semmi koze hozza. Tokeletes felelosseg elmaszatolo eszkoz.
---
pontscho / fresh!mindworkz
"úgy lenne jó, ha be/ki lehetne kapcsolni"
Ha csak az első linket megnézted volna, ugye...
--
trey @ gépház
Fedora 12 Fail
Igen, csak gondoljunk bele, van egy csomag, amire publikus exploit van, barki telepitheti es root lett belole. Ha kell meg gcc-t es minden egyebet is felrak maganak.
Vicc!
RH7.3 ota ezen a vonalon vagyok, szerencsere most epp nincs desktop gepem, nehez lenne a mai rendszerek kozott valogatni. Lehet a vegen megragadok a virtualis ubuntumnal es elkoszonok az rpm vilagtol.
A mondatodban a bárki volt a csúsztatás. Ha desktop gép, akkor általában úgyis az van rajta, amit a felhasználója akar, ha meg szerver, akkor oda kell ülni fizikailag is a géphez, ami nagyságrenddel nehezebb, mint besshzni.
És amellett ki is kapcsolható a fícsör. Most, hogy ekkora publicitást kapott, már mindenki tudni forgja, aki ilyen gépet adminol....
Csaba
Igen, de egy lehetoseget kihagytal, olyan desktop gep, amelyet nem a felhasznalo tart karban! Innentol kezdve, csak az adminon mulik. Rendben, hogy jol kellene dolgoznia, es kikapcsolni ezt a funkciot, de az ordog nem alszik.
Szerintem ez rossz iranyba mutat.
A gcc tényleg gáz.
Ha ez nem bug, akkor valószínűleg a Windows-hoz szokott laptop használóknak találták ki, hogy bővítményeket, meg letöltött progikat csomagból tudjanak telepíteni. Na de akkor egy preparált weblap simán telepíthet gcc-t, onnan meg már csak 1 lépés a rootkit fordítás.
Jogos, erre az aspektusra nem gondoltam.
Csaba
Mondjuk erre egyszerű workaround-ot gyártani: a gcc csomag (a hivatalos és aláírt gcc, ami a "yum install gcc" parancsra jönne le) a település előtt ellenőrzi, hogy root futtatja-e éppen, vagy nem. Már régen nem csináltam RPM-et, de azt hiszem, a %prep részben lehet mindenféle parancsokat futtatni még telepítés előtt.
Ez lenne csak főleg gyönyörű megoldás.
Csak akkor lehet root belőle, ha az adott program automatikusan, root-ként elindul. Alapból nem települő szerverprogramok csinálnak ilyet?
gcc-vel mit ér? A home könyvtárába így is-úgy is feltehet programokat, legfeljebb nem helyben fordítja le, hanem egy másik, azonos rendszeren. Mivel ezek a programok is az ő jogaival fognak futni.
"I don't particularly care how UNIX has always worked" - Richard Hughes, Red Hat Linux engineer
Ez akár az aláírása is lehetne... :)
+1 :D
ez miben kulonbozik attol hogy a user kibontja a home konyvtaraba a csomagot es onnan futtatja a binarist?
udv Zoli
hogy nem a home-ba települ és nem a user jogaival? :)
nem probaltam, de gondolom pl suid-s programot igy sem lehet futtatni
udv Zoli
?
pl:
$ ls -l /usr/bin/X
-rwsr-sr-x 1 root root 9648 júl 31 23.16 /usr/bin/X
szerk:
find /usr/bin -type f -perm /u+s
udv Zoli
DoS-ra felhasználható, pl. elfogyasztható a hely. Kérdés, hogy a helyi konzol felhasználó ennél nagyobb kárt is tudna-e használni más módon (tudna), akkor miért pont ezt választaná.
--
trey @ gépház
Nem biztos, hogy szandekosan csinalja ;) Lehuz egy kde-desktopot mondjuk mert ki akarja probalni, aztan xfce-desktop mert a KDE nem tetszik, egy kis ez, egy kis az, torolni persze meg nem tud, akkor sem ha akar. Es az ilyen jellegu kiserletezo kedvu felhasznalobol juthat nehany egy gepre ...
Igen, kb ennyit lehet megtenni. A nagy ijedtseg azert kicsit felesleges, ugye senki nem gondolta, hogy a felhasznalok amugy nem tudnak programokat telepiteni? Azert ketsegtelen, hogy ettol sebezhetobb lesz a rendszer, de azert nem olyan sokkal. A DoS-on kivul meg a setuid-es jatek okozhat gondot... eppen ezert csak az alairt csomagjaikat engedik felrakni.
Például abban, hogy egy csomagnak vannak függőségei, amiket szintén kézzel kellene telepíteni a szerencsétlen usernek, ami mondjuk fél nap per program telepítési sebességgel ruházná fel.
A Fedora 12 tipikusan end-user, desktop disztribucio. Miert is baj, ha van egy feature, ami a felhasznalok eletet megkonnyiti? Nyilvan a RHEL-be nem fog atkerulni. Raadasul nem esznelkuli telepitesrol van szo, hanem a root altal elozoleg engedelyezett, trusted repok elereserol. Hallo, 2009-et irunk...
--
SELinux, Xen, RHEL, Fedora: http://sys-admin.hu
Mennyiben konnyiti meg? Egy jelszo begepelesetol?
Es annak a begepelesnek pszichologiai jelentosege is van.
Meg all egy pillanatra a user: "Haho, mit is csinalok, hogy keri a root jelszavamat?"
A desktop Linux elterjedesenek egyik legnagyobb akadalya az alkalmazasok telepitesenek "nehezsege", roottol valo fuggosege. En szemely szerint nem erzem oriasi biztonsagi kockazatnak azt, hogy az otthon hasznalt gepunkon a csaladtagjaim az elerheto repokbol alkalmazast telepitsenek, ha arra szukseguk van. Nem konfiguralnak rendszerszolgaltatasokat, nem vegeznek generikus root feladatokat, de ha eppen szeretne kiprobalni egy ujabb media playert vagy barmit, akkor legyen meg a lehetosege ezt feltenni anelkul, hogy az aldasom es aktiv kozremukodesem kellene hozza.
Mennyivel eletszerubb az, hogy Pistike installal, a PK bekeri a root passt, jol becache-elni a sessionre/10 percre, majd utana telepitget ujabb jelszo begepelese nelkul?
Mindenki bo nyallal nekiugrott az enterprise kornyezetnek - nyilvan egy pillanatig sem kell felni attol, hogy ez lesz a default. De home/vegfelhasznaloi teruleten semmi problemat nem latok benne.
--
SELinux, Xen, RHEL, Fedora: http://sys-admin.hu
Okes, ez mar szubjektiv, maskepp gondoljuk. Ertem en a raciot, csak nem tudom elfogadni. Nekem a jelszo cacheles sem lenne szukseges. Szerintem a desktop linux elterjedesenek nem ez a legnagyobb akadalya. En pont ezeket a klasszikus dolgokat szeretem a linuxban, mert ismerem magam, XP-t is teljeskoru userrel futtatok, mert nem kenyszerit masba. Mostmar csak azt nem tudom hogy desktop linuxokat miert nem futattjuk root-kent? Nem is kellene mas felhasznalo ide, nyugodtan csinalhatnank mindent rootkent, az lenne az ultra kenyelem. De valahogy megsem tesszuk.
En a csaladnak sem engedek semmifele telepitest. Bar mostmar oket sem linuxon "tartom".
Most epp azon gondolkodtam, hogy fuggosegeket is fel tudja oldani ez az uj rendszer, mi van, ha utkozes van es masik csomagot le kellene szedni.
Nem az a baj, hogy van egy ilyen feature. Az a baj, hogy alapertelmezettkent aktiv. Meg az a baj, hogy jon egy maintainer es azt mondja, hogy mostantol ez igy van es kesz. Es ezt tulsagosan nem is publikalja. Egyebkent erdemes beleolvasni a belinkelt threadekbe ...
Ötlet jó és új ezért a sok ellenző.
Ha alapértelmezetten ki van kapcsolva ez a működés akkor szerintem jó dolog, ha pedig bekapcsolva akkor szerintem is bug...
Baromság. Ez jellemezte a windows eddigi sikeres pályafutását bárki bármit bárhova. Persze belátták hosszasan nem lesz jó, csak mostmár nehéz...
Az ötlet nem jó és ezért sok az ellenző. Akár be van kapcsolva, akár nincs.
Szerintem ez úgy lenne normális, ha a felhasználók a saját könyvtárukba telepíthetnének (és törölhetnének) programokat, suid nélkül persze. Így tényleg csak azt könnyítené meg, amit egyébként is megcsinálhatnak; ekkorlát? a tárolókra se kéne korlátozás.
Esetleg lehetne olyan opció, hogy a saját könyvtárba, de root tulajdonaként települjenek, hogy a többi felhasználó (akik nem bíznak meg abban, aki telepíti) is megbízhasson benne, ezeket egy suid programmal lehetne törölni.
AFAIK ennek az az akadálya (ami elég nagy állatság Unix-szerű rendszereken), hogy sok programba bele vannak forgatva az útvonalak. Erre van valami szükség? Egy bináris nem tudja lekérdezni a saját útvonalát?
Ezt én (mint sokan mások) elég necces dolognak tartom. HA rajtam a felelősség mint rendsergazda, ugyan ne piszkáljon már bele nekem senki. Tegye tönkre azt a gépet ami a sajátja. Azon felül ez nagyon jó támadási pont is, mert elég valamilyen módon bejutni a képre, és user jogokkal bármit feltolhatok alá. Eddig legalább a rendszergazdajelszót kellett ellopni (vagy hiba kihasználásával betörni), hogy spamzombit csináljanak a gépből (pl). Már ez sem kell. Szerintem ez áprilisi vicc (tudom november van).
------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.
Miért, eddig a home könyvtárába nem rakhatott spambotot?
Rakni rakhatott, de az user nem telepíthette hozzá a környezetet amiben a spambot futtatható.
------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.
Milyen környezet kell hozzá, amit egy sima felhasználó nem telepíthetett, most viszont telepíthet?
Olyan környezet amiben fut a spammer robot pl. Én pl erősen kétlem hogy bináris állományok olyan könnyen futtathatóak a linuxról b linuxra másolva. De ha felpakolja egy betörés után a fordítót.....
------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.
De. A problema tok egyszeruen megoldhato. Ez a Fedora baromsag nem ezert veszelyes.
---
pontscho / fresh!mindworkz
Hanem? Nem kötekedni szeretnék. Tényleg kíváncsi vagyok.
------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.
Egyreszt siman megoldhato linux alatt is nehany szabaly betartasaval, h a binaris hordozhato legyen. Masreszt mar kifejtettek a topicban paran, hogy ez a Fedora "feature" mekkora sechole-t jelent.
---
pontscho / fresh!mindworkz
"Én pl erősen kétlem hogy bináris állományok olyan könnyen futtathatóak a linuxról b linuxra másolva."
Ez legfeljebb kicsit megnehezíti a dolgot, de egyáltalán nem akadályozza meg (főleg annyira, hogy biztonsági értelemben számítani lehessen rá). Ha ugyanazt a verziójú Fedora-t feltelepíti egy másik gépre, és figyel a szükséges libek verzióira, menni fog.
Másrészt bármit meg lehet csinálni bash-ben is, pl. spammelni is.
azert ez nem atjarohazat csinal a gepbol, hanem csak a konzolon _belepett_ felhasznalonak engedi meg, hogy telepithessen. Szal itt is kell jelszo, sot oda kell menni fizikailag a gephez.
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
Jaaa akkor én félreértelmeztem. Úgy értettem, hogy elég pl betelnetezni....
------
3 fajta matematikus létezik. Aki tud számolni, és aki nem.
Ja, fedorába alapból nem lehet betelnetelni, mert default ki van kapcsolva a telnetd...
Csaba
Szerintem meg kellene különböztetni a csomagok definíciós állományában, hogy mi lib, futtatható program és mi szerver alkalmazás. És természetesen ezen információ szerint válogatni, hogy ki mit telepíthet.
Ugyanis pl Ubuntun ha telepíted az SSH-t, akkor egyből el is indul és nyitja a 22-es portot, ahol bárki bejelentkezhet. Ezt nem biztos hogy mindenkinek meg kell tudni tenni. Viszont egy kodeket miért ne tehetne fel, ami mindigis csak az adott user nevében fog futni?
+1 Az a gáz, ha setuid-os programot is telepíthet, vagy olyat, amelyik automatikusan (rendszerinduláskor/cron-ból) elindul root-ként.
Ennél csak egy telnet server lehet jobb...
--
Discover It - Have a lot of fun!
en mindig igy allitom be magamnak :p
--
NetBSD - Simplicity is prerequisite for reliability