Csak nem egy segítőszoftver van a rendszeremben?

Beüzemeltem a Sambát; öröm, boldogság, még akár egy `dir` parancsot is ki merek adni, eredmény:

smb: \> dir
NT_STATUS_ACCESS_DENIED listing \*

Már első google-zásra megütötte a szememet az, hogy 'selinux'... Szinte biztos vagyok benne, hogy az lesz akadályozó játékos.

Hozzászólások

Szerkesztve: 2020. 08. 06., cs – 15:15

Régi sillabuszból (adott könyvtárstruktúrára, a $HOME-on ne próbáld ki :-) ):

semanage fcontext -a -t samba_share_t ' /foo/bar/baz(/.*)?'
restorecon -v /foo/bar/baz

setsebool -P samba_export_all_rw on

de a permissive mód és a audit2allow/audit2why csodákra képes :-)

Lehet olyat is csinálni, de gondolom, neked az a HP-UX is tetszene, ahol a jelszavak szép sorban ott figyeltek MD5-tel hash-elve a /etc/passwd fájlban... Ettől még mindkét dolog erősen antipattern, hogy finoman fogalmazzak. Folyamatosan tanulni nem szégyen, IT-ban kvázi kötelező is...

Az a különbség, hogy pl. jelszavak migrációját a /etc/shadow-ba, vagy a non-executable stack használatát, vagy ASLR-t elég egyszerűen el lehet magyarázni, és még a magamfajta ősember is látja, hogy hasznos; viszont akiket a SELinux előnyeiről kérdeztem, azt felelték, hogy 'googlézz szorgalmasan, vannak olyan esetek, amikor megakadályoz valamilyen rossz-szándékú akciót'.

Viszont mindeféle google-zés nélkül találkozom olyan esetekkel, amikor megakadályoz valamilyen jószándékú akciót.

Egyébként pont a Sambánál pl. jól jön, fixálják állandóan a secu bugokat, de azért időnként előfordul(t), hogy pl. elérési utakat rosszul képez le fájlrendszerbeli megfelelőikre... na, azt a SELinux megfogja a megfelelő context híján.

Szerk.: a jó szándékú részre... lehet, hogy te jó szándékú vagy, az összes usered is az?

Starting with Samba version 3.0.23 the capability for non-root users to add, modify, and delete their own share definitions has been added. This capability is called usershares and is controlled by a set of parameters in the [global] section of the smb.conf.

Egy usershare max shares rossz beállításra és egy mappa létrehozására (szevasz később felhasználható backdoor valamely kollégának), hogy a usereid megosszanak nem feltétlenül megosztani kívánt mappákat...

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Bazeg, kitől tanultál te hapukszot???? Méghogy MD5.

Nem te voltál az, aki az Sysadmin 1 tanfolyamra késve érkeztél? No abban a 15 percben meséltem el, hogy ilyen úri huncutság, hogy MD5-ös passwd, nincs a HP-nál.

Tőled, kérlek, tőled :-D Igaz, a sysadmin I.-en valahogy úgy fogadtál, mit keresek én ott, meg hogy honnan veszem, hogy sok új dolgot fogok hallani? :-D
Egyébként meg 20+ éve volt... (Az ominózus Superdome pár évvel később "jött szembe", és igen, igazad van, nem md5 volt)

Mert protokoll-szinten olyan auth megoldások vannak hozzákötve (LM/NTLM/NTLMv2/kiskutya), amihez vagy plaintext Unix db kéne vagy olyan formátumú hash, ami alkalmas a protokollhoz, viszont nem szerencsés használni, mert triviálisan visszafejthető.

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Mert a jelszavak jo esellyel hashelve vannak a Unix adatbazisaban, viszont az SMB protokollt erto cuccok egyik, a Unix jelszoadatbazisaban szereplo jelszotitkositast nem beszeli. Van arra lehetoseg, hogy a Samba jelszovaltaskor leusse a Unix-ban is a jelszovaltast, visszafele erre nincs mod.

Raadasul Samba4 eseten az Active Directory kompatibilitas miatt egy LDAP schemaban kell tarolni a jelszavakat, es ott nem igazan van helye annak, hogy "odaszimulaljuk" a Unix-os jelszot, meg ha ez lehetoseg is lenne. 

Know your enemy. Es ez amugy igaz a SELinuxra is, persze, minden masodik tutorial azt ajanlja, hogy "tilcsuk le". Csak aztan amikor elkezdesz egy olyan cegnel dolgozni, ahol _nem lehet_ letiltani, akkor ott allsz megfurodve, hogy fingod nincs, hogyan kell konfiguralni. Erdemes egy low-risk kornyezetben megtanulni a kezeleset, es begyakorolni, hogy mikor mit kell csinalni, hogy ne jatszd el Adamot anyaknapjan. 

Az IT-ben nincs helye a kategorikus velemenynek. Lehetnek preferenciaid, lehet azt mondani, hogy "en ezt nem szeretem", es ha _kizarolag_ rajtad all vagy bukik, akkor nem csinalod, de ha ott van, es be van allitva, akkor igenis tessek hasznalni, mert lehet, hogy a jovoben ez a tudas kincset fog erni. Es igen, en is a nehezebb uton tanultam ezt meg.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

" az a csodálatos érzés, amikor letiltod és rebootolsz nélküle... " - mint az AIDS és hasonlók ellen óvszerrel védekező rendőr esete, aki a gumit csak pisáláshoz meg dugáshoz veszi le... (Ja, és ha már közelebb az ősforráshoz, akkor ugye a shadow password, a tcp-wrapper, a mindenféle packet filter is fúj, meg persze az ssl úgy mindenestől, rsh/rcp/rexec és társait használsz mert azzal vagy közelebb a... Hahó! eltelt közben pár évtized, és a világ is változott, meg az OS és a hozzá adott körítés is...)

Ilyet nem írtam - csak azt, hogy ha számodra felüdítő dolog kikapcsolt selinux, akkor gondolom a többi biztonsági dolog, ami az ős-ős Unixokban nem volt, szontén a fertőt és a kerülendő dolgokat jelentik. Egyébként azért illene utánaolvasni, hogy mit is csinál, hogyna is működik a SElinux, és hogy máshol milyen hasonló megoldások vannak, mert így azért eléggé gáz, amiket írogatsz...

Tényleg, van valami hup, vagy ilyesmi, pont unixos témák forognak ott

https://hup.hu/comment/2216044#comment-2216044

De mondjuk egyébként jogos, az emberek egymást is a lakcímükről nevezik el, nemde, kedves MásodikJánosPálPápatér3fszt4 úr?

Off-topic:

Leonard: Oh, hang on. "Yes, one might question the $20 billion "to build and run the Large Hadron Collider, but on the other hand..."
Sheldon: Okay. Um, oh, oh! "On the other hand, contrary to predictions, the collider didn't create a small black hole that devoured the Earth and life as we know it." So, money well spent.