Re: apache2+ikiwiki: проблема с suid wrapper

To: debian-russian@lists.debian.org
Subject: Re: apache2+ikiwiki: проблема с suid wrapper
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Thu, 16 Aug 2012 14:33:45 +0400
Message-id: <[🔎] 20120816103345.GA700@wagner.pp.ru>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] 502CC696.1020708@kuklin.ru>
References: <[🔎] CAAB-Kc=T=y2EmK9HS0CY1EXt2D4ukyU4YLysfkQSK3C-RHSMxw@mail.gmail.com> <[🔎] CAAB-Kcm8LHuY3sBzvRYkxDvmfsi4ina_OBP=wWZrVX+WFx5BWg@mail.gmail.com> <[🔎] CAAB-KckK5fbru6d7P+GpT3EuTK9iYYQ_j+WubvJUzhxtN6T95w@mail.gmail.com> <[🔎] 20120816073138.GC29533@wagner.pp.ru> <[🔎] 502CB01B.8050602@gmail.com> <[🔎] 20120816090945.GB31836@wagner.pp.ru> <[🔎] 502CBCBC.7040202@gmail.com> <[🔎] 20120816100637.GA509@wagner.pp.ru> <[🔎] 502CC696.1020708@kuklin.ru>

On 2012.08.16 at 13:08:22 +0300, alex kuklin wrote:

> >
> >Ну либо надо скрипты в chroot запускать, чтобы доступа к rw-копиям себя
> >у них не было в принципе. А системный вызов chroot работает только от
> >рута, да и cgi-environment переписывать придется. В общем - куча новых
> >security implications.
> Что только люди не делают, лишь бы posix acl не использовать....

И как поможет posix acl в данной ситуации? Когда одни процессы,
выполняющиеся от имени того же юзера (cgi-скрипты) не должны иметь
доступа к определенным файлам, а другие, выполняющиеся от того же юзера
(ftpd, dav-сервер) - должны. Примечание: не забывайте что кроме этого
юзера у нас есть еще десять тысяч других, и у всех есть ftp-доступ и
скрипты.

Я тут как раз о том, что если завести двух пользователей, объединенных в
группу, то стандартных юниксовых 9 бит permissions за глаза хватит.
Единственная засада - вместо 10000 пользователей в системе нам придется
держать 20000 и еще 10000 групп. (впрочем, 10000 групп у нас вероятно
есть и так - из-за привычки современныхс систем по умолчанию создавать
для каждого юзера персональную группу)

Reply to:

References:
- apache2+ikiwiki: проблема с suid wrapper
  - From: Hleb Valoshka <375gnu@gmail.com>
- Re: apache2+ikiwiki: проблема с suid wrapper
  - From: Hleb Valoshka <375gnu@gmail.com>
- Re: apache2+ikiwiki: проблема с suid wrapper
  - From: Hleb Valoshka <375gnu@gmail.com>
- Re: apache2+ikiwiki: проблема с suid wrapper
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: apache2+ikiwiki: проблема с suid wrapper
  - From: Alex Mestiashvili <mailatgoogl@gmail.com>
- Re: apache2+ikiwiki: проблема с suid wrapper
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: apache2+ikiwiki: проблема с suid wrapper
  - From: Alex Mestiashvili <mailatgoogl@gmail.com>
- Re: apache2+ikiwiki: проблема с suid wrapper
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: apache2+ikiwiki: проблема с suid wrapper
  - From: alex kuklin <alex@kuklin.ru>

Prev by Date: Re: apache2+ikiwiki: проблема с suid wrapper
Next by Date: Re: apache2+ikiwiki: проблема с suid wrapper
Previous by thread: Re: apache2+ikiwiki: проблема с suid wrapper
Next by thread: Re: apache2+ikiwiki: проблема с suid wrapper
Index(es):
- Date
- Thread