non sono un utilizzatore debian "lato server", ma ti espongo quello che penso/so a riguardo... > devo presumere (ad esempio) che se un bug di sicurezza di squid venisse > sfruttato, il tizio avrebbe accesso come utente proxy quindi con tutte le > restrizioni del caso. penso di si > Ma per il discorso openvpn (che da ps vedo e' attiva da root)? con lo stesso > ragionamento avrebbe a disposizione una root shell.. per lo stesso ragionamento di prima dico "esatto", avrebbe a disposizione una root shell > E apache? > da ps vedo: > root 2078 0.0 0.4 10908 4364 ? Ss Apr04 > 0:00 /usr/sbin/apache > root 2095 0.0 0.4 10964 4396 ? Ss Apr04 > 0:00 /usr/sbin/apache-ssl > www-data 26658 0.0 0.1 4704 1096 ? S Apr06 > 0:00 /usr/lib/apache-ssl/gcache 33 /var/run/gcache_port > www-data 26659 0.0 0.9 18076 9900 ? S Apr06 > 0:03 /usr/sbin/apache-ssl > > in questo caso avrebbe una root shell o una shell come www-data? qui non saprei risponderti, potrei pensare che se il bug è di apache allora la ottiene di root, se invece è di apache-ssl la ottiene di www-data > idem per courier che e' attivo come root. già... > C'e' modo (per questi servizi openvpn, courier, etc.) avviarli da utente > fittizio e non da root o devo per forza mettere in chroot tutto? potresti crearti un utente e gruppo fittizio che hanno i permessi giusti per avviare/usare questi programmi (e quindi solo di questi) , inserendo questo utente fittizio nei gruppi che hanno i permessi per agire su altri programmi (ma non su tutti come root)... > E ancora: come chroot ho sempre usato jailkit (non presente negli archivi > debian), c'e' qualcosa di piu' "sicuro"? non saprei. Queste sono solo idee che mi vengono in mente per "arginare" il problema, aspetta risposte da qualcuno che ne sa più di me ;-) Comunque credo che se dovessero essere scoperti dei bug su questi software, in meno di un giorno avresti la patch di sicurezza (un esempio è stato la syscall vmsplice del kernel). Ciao! Windows Live Mobile Collegati a Messenger dal tuo cellulare! |