Re: gnome-apt

To: Debian-Russian <debian-russian@lists.debian.org>
Subject: Re: gnome-apt
From: "Viktor Vislobokov" <vvislobokov@lukoilperm.ru>
Date: Wed, 30 Jan 2002 08:47:25 +0500
Message-id: <[🔎] 3C576CCD.7030901@lukoilperm.ru>
References: <[🔎] Pine.LNX.4.30.0201291611130.9378-100000@party.ice.ru>

Использование стандартных X-овых средств авторизации является
гораздо более нормальным и стандартным чем использование PAM.
Этому паму лет отроду без году неделя - всего лет пять. А xauth - 15.


   При чем здесь это?


Притом, что последнее время резко упало качество open_source кода.
В связи с большим притоком в эту область неквалифицированных
программистов.



   И что? Неквалифицированных админов тоже
большой приток случился. При чем здесь это?
Мы вообще чего обсуждаем? Качество софта,
программистов или как проблему рещить?

   Ты своим xauth можешь root'овые права получить?
   Нет!


И слава богу!



    Дело не в славе, а в том, что цели разные у
PAM и Xauth.

Для получения рутовых прав можно использовать стандартные и проверенные
механизмы - su, sudo (в нем, конечно, тоже дырки бывают), super и
suid-бит на программе.



     Ага. На фоне двух недавно вскрытых дыр, sudo
- это ты классно привел.
     По поводу suid'ных битов на программе я
вообще молчу - это старый, конечно, способ,
только старый способ взлома систем через
такие программы.
     Практически во всех руководствах по
безопастности, первое что рекомендуют
сделать - это таковые программы в системе
найти и: или удалить их нафиг или снять с
них suid'ный бит.

   Теперь, что является целью первоначального
вопроса? Запустить админовую программу с
root'овыми правами.


Запустить X-овую  программу с рутовыми правами на десктопе, принадлежащем
не-руту. Хитрость здесь в том, что X-ы - протокол сетевой, а в сети
root с какой-то определенной машины не облает никакими
дополнительными правами.

Предложенное решение с xauth позволяет руту, пользуясь правами на
локальную файловую систему, получить авторизацию на дисплей пользователя.

Чего тут интуитивно-непонятного?



     Ладно, прикинусь полным чайником - а зачем
мне вбивать какие-то команды (а их еще и искать надо), если мне с
модулем PAM ничего вбивать не надо, более того,
все работает сразу после установки системы?
     Ты утверждаешь, что этот механизм не
секурный. Я повторюсь - реальные примеры мне
на бочку!


И этот механизм ничего лишнего не требует не только от пользователя,
но и от администратора. В частности, установки непроверенного кода,
который в debian stable еще не попал.



     А кто говорит про Debian? Я же сказал - в нем
такого механизма нет. Ни в stable ни где бы то
еще. В других дистрибутивах он уже
используется не один год и значит вполне
себе проверку временем прошел.
      И дело не в том, что кто-то решил его не
включать озаботившись секурити, а дело в том,
что в Debian'овском PAM'е нет того модуля.
     Что касается несекурности PAM'а, то сейчас
в том же Debian, PAM суется всюду. Можешь в этом
убедится сам.
     Более того, я не припомню, чтобы за
последний год я встречал где бы то ни было
сообщения о дырах в PAM.


Виктор

Reply to:

Follow-Ups:
- Re: gnome-apt
  - From: "Victor B. Wagner" <vitus@wagner.rinet.ru>
- Re: gnome-apt
  - From: Ilya Anfimov <ilan@adt.ru>

References:
- Re: gnome-apt
  - From: Victor Wagner <vitus@ice.ru>

Prev by Date: Re: ssh
Next by Date: Re: Server backup
Previous by thread: Re: gnome-apt
Next by thread: Re: gnome-apt
Index(es):
- Date
- Thread