Re: Es normal "a+x /usr/sbin"

To: debian-user-spanish@lists.debian.org
Cc: debian-spanish debian <debian-user-spanish@lists.debian.org>
Subject: Re: Es normal "a+x /usr/sbin"
From: Christian Frausto Bernal <cfrausto@conocimientopractico.com>
Date: Mon, 25 Apr 2005 11:28:05 -0600
Message-id: <[🔎] 426D28A5.3010204@conocimientopractico.com>
In-reply-to: <[🔎] Pine.LNX.4.58.0504250822310.7629@midas.ciberdroide.com>
References: <[🔎] 200504241603.33966.pmancheno@gmail.com> <[🔎] 426C6558.9090908@conocimientopractico.com> <[🔎] Pine.LNX.4.58.0504250822310.7629@midas.ciberdroide.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Antonio Castro wrote:
> No he mirado esta referencia pero tengo claro que en /sbin pese a
> contener comandos de uso reservado a root cualquier usuario tiene
> permiso para ejecutarlos. Sería tonto pensar que por no dar permiso
> a usar un programa nuestro sistema está a salvo. Un programa es algo
> que cualquiera puede conseguir una copia y ejecutarlo.

Cualquiera puede ejecutarlo, si, pero lo que yo dije, es que en /sbin y
/usr/sbin se ponen comandos administrativos, y que "solo root debe"
poder usarlos, no que solo root puede usarlos :). El mismo script de
Bastille [1] le quita el permiso a herramientas administrativas a
usuarios no root, como mount, ping, at...... el sistema no esta a salvo,
porque nunca lo estara :p, pero se "endurece" la instalacion.

> Se permiten usar porque la política es muy abierta y muy libre. Se
> permite todo salvo aquello que suponga un peligro cierto y tampoco
> se oculta nada de información salvo lo que suponga un peligro cierto.
> En Linux cualquiera tiene acceso a los fuentes de cualquier ejecutable
> porque la seguridad no se basa en el secreto. Secretas son las claves
> de usuario, algunos logs, y cosas que den pistas innecesarias a los
> intrusos.
> 
> Restringir permisos sin una buena razón no es una buena política.
> 
> Si un usuario normal intenta usar '/sbin/fdisk -h' obtendrá el resultado
> de la ejecución de ese comando que usado de esa forma es bastante
> inofensiva. Estamos usando el comando para saber como se usa. Por el
> contrario el usuario intenta hacer un uso indebido de los recursos
> del sistema '/sbin/fdisk /dev/hda' obtendrá un mensaje de error por falta
> de permisos sobre ese dispositivo.
> 
> Solo se pueden usar los recursos, ficheros, memoria, dispositivos, etc
> haciendo una llamada al kernel.

En todo estoy de acuerdo y pienso similar y la ideologia del software
libre asi esta planteada.

> Todo proceso viene identificado por un EUID y en mi opinión este es el
> punto clave de la seguridad de todo el sistema.

Es un punto clave en la seguridad de una parte del sistema. El Bastille,
que personalmente recomiendo, quita el SUID al usuario no root.

Por cierto, lo tenemos en Debian: bastille - Security hardening tool

[1] http://www.bastille-linux.org/

Saludos,

- --
Christian Frausto Bernal
http://www.conocimientopractico.com
http://www.conpra.com/cfrausto.gpg
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (MingW32)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFCbSiln9a3KM4uVGwRAtepAJ43Ty7ttJXuig5WL8yLCtZknEc9igCfbHAl
BYHnc3kxn4WVEz+8sE/r1fk=
=QbNj
-----END PGP SIGNATURE-----

Reply to:

References:
- Es normal "a+x /usr/sbin"
  - From: Pepo <pmancheno@gmail.com>
- Re: Es normal "a+x /usr/sbin"
  - From: Christian Frausto Bernal <cfrausto@conocimientopractico.com>
- Re: Es normal "a+x /usr/sbin"
  - From: Antonio Castro <acastro@ciberdroide.com>

Prev by Date: Re: Filtrar correo basura con kmail....
Next by Date: Re: Procesos ejecutados desde el cron del root me envian demasiados emails
Previous by thread: Re: Es normal "a+x /usr/sbin"
Next by thread: Re: Es normal "a+x /usr/sbin"
Index(es):
- Date
- Thread