Re: nfs e sudo: furo de segurança???

To: debian-user-portuguese@lists.debian.org
Subject: Re: nfs e sudo: furo de segurança???
From: "Marcos Lazarini" <lazarini@nics.unicamp.br>
Date: Thu, 3 Mar 2005 00:35:25 -0300 (BRST)
Message-id: <[🔎] 53400.200.158.158.122.1109820925.squirrel@www.nics.unicamp.br>
In-reply-to: <[🔎] Pine.LNX.4.58.0503010752360.28182@zoloft.if.uff.br>
References: <4223B84B.6060701@if.uff.br> <4223E6BC.305@nics.unicamp.br> <[🔎] Pine.LNX.4.58.0503010752360.28182@zoloft.if.uff.br>

Thadeu Penna wrote:
> On Tue, 1 Mar 2005, Marcos Vinicius Lazarini wrote:
>
>>Thadeu Penna wrote:
>>>Imagine a seguinte situação (testei aqui):
>>>a) exporte um volume por NFS com root_squash (default)
>>>b) monte na máquina cliente
>>>c) alguém com acesso de root na cliente tenta apagar seus arquivos
>>>   su
>>>   # rm teste.dat
>>>   rm: imposível remover `teste.dat': Permissão negada
>>>   excelente.. o root_squash funciona
>>>d) su - operador não funciona (operador é uma conta no NIS)
>>>e) mas sudo su - operador, quebra todas as proteções :(
>>Humm, acho que nao entendi o problema... protecoes? que protecoes? Isso
seria o mesmo que fazer a seq. abaixo?
>>$ su
>>...
>># su - operador
>
>
> Não, pois aí pede-se não a senha do root mas a do usuário operador ;)
Foi surpresa pra mim também..

Meu... ainda nao consegui captar.... Em todo o caso, tentei fazer o que 
vc disse:

------------
lazarini@maquina:~$ su - rodrigo
Password: <senha do rodrigo>
rodrigo@maquina:~$
------------
lazarini@maquina:~$ sudo su - rodrigo

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

     #1) Respect the privacy of others.
     #2) Think before you type.
     #3) With great power comes great responsibility.

Password:
laza is not in the sudoers file.  This incident will be reported.
lazarini@maquina:~$
------------

Estou fazendo alguma coisa errada? não consigo furar o esquema... Será 
que seu /etc/sudoers não está com problemas? Veja meu /etc/sudoers (BTW, 
a permissão dele é 440):

-----------------
# /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the man page for details on how to write a sudoers file.
#

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root    ALL=(ALL) ALL
-----------------

Em ultimo caso, remova o sudo... :-)

>>Se vc está desconfiado, talvez seja mais interessante fazer uma
experiencia e
>>montar as particoes via SMBFS ou então limitar acesso de root no cliente
(atraves do próprio sudo, ou adjacencias) - isso se a máquina nao for um
laptop do usuário.
>
>
> O problema é que pode ser um laptop do usuário :(

Pois é.... bom, ai fica dificil - pra evitar isso, só colocando ele numa 
outra sub-rede, ou numa faixa de IPs que o /etc/exports não autoriza.  Mas
ai o usuário legitmo fica impedido.... ai temos um impasse, que não  sei
como resolver.

-- 
Marcos

Reply to:

Follow-Ups:
- Re: nfs e sudo: furo de segurança???
  - From: Thadeu Penna <tjpp@if.uff.br>

References:
- Re: nfs e sudo: furo de segurança???
  - From: Thadeu Penna <tjpp@if.uff.br>

Prev by Date: Re: arquivos temporários
Next by Date: Re: nfs e sudo: furo de segurança???
Previous by thread: Re: nfs e sudo: furo de segurança???
Next by thread: Re: nfs e sudo: furo de segurança???
Index(es):
- Date
- Thread