Re: güvenlik problemi gibi gelen iki durum

To: debian-user-turkish@lists.debian.org
Subject: Re: güvenlik problemi gibi gelen iki durum
From: Azer Demir <azer.demir@gmail.com>
Date: Fri, 16 Dec 2005 14:34:26 +0200
Message-id: <[🔎] bbd8ae9e0512160434oacf070dk@mail.gmail.com>
In-reply-to: <[🔎] 20051216121121.GA3319@oxygen>
References: <[🔎] bbd8ae9e0512160105k64b4ecf5w@mail.gmail.com> <[🔎] 20051216121121.GA3319@oxygen>

16.12.2005 tarihinde Recai Oktas <roktas@omu.edu.tr> yazmış:
> Merhaba,
>
> Tonguc gayet guzel ozetlemis, ben de birkac sey ekleyeyim.
>
> * Azer Demir [2005-12-16 11:05:57+0200]
> > birincisi /sbin ve /usr/sbin dizinlerinin altında bulunan programlarla
> > ilgili. normalde bu dizinlerin içerikleri root kullanıcısı için path
> > değişkenine ekli, fakat normal kullanıcı için ise ekli değil ki, böyle
> > olması doğal. yalnız bu dizinlerdeki programların dosya izinleri bu
> > programları normal kullanıcıların çalıştırmalarına olanak tanıyor,
> > yani komut satırından şöyle dersek;
> >
> > $ /sbin/modprobe ... (modprobe /sbin'in içinde miydi tam
> > hatırlamıyorum, örnek olarak görelim :) )
>
> Bu komut verilen cekirdek modulunun yuklenmesini saglar, bir sartla, modulu
> yukleyen prosesin (ve dolayisiyla prosesi baslatan kullanicinin) elinde bir
> izin belgesi olmalidir.  Bu izin belgesine "capability", bu tarz izin
> denetimine de guvenlik jargonunda "capability based security"[1] deniyor.
> Ayrintilar icin capabilities(7) kilavuzuna bakabilirsin.  Mesela ben o
> belgeye baktigimda modprobe komutuyla bir modul yuklemem icin gerekli
> "capability"nin CAP_SYS_MODULE oldugunu goruyorum:
>
>     CAP_SYS_MODULE
>         Allow  loading  and  unloading  of  kernel modules; allow
>         modifications to capability bounding set (see init_module(2) and
>         delete_module(2)).
>
> Normal kullanicinin bu islemi yapabilmesi icin o komutun SUID ozelligini
> etkinlestirebilirdik:
>
>     $ cd /tmp
>     $ sudo cp /sbin/modprobe .
>     $ ls -l modprobe
>     -rwxr-xr-x  1 root root 23276 Dec 16 13:48 modprobe
>     $ ./modprobe pcspkr
>     FATAL: Error inserting pcspkr ...: Operation not permitted
>     $ sudo chmod u+s modprobe
>     $ ls -l modprobe
>     -rwsr-xr-x  1 root root 23276 Dec 16 13:48 modprobe
>     $ ./modprobe pcspkr && echo OK
>     OK
>
> gibi...  Nitekim boyle SUID yapilmis iyi bilinen bir program da var:
>
>     $ ls -l /bin/ping
>     -rwsr-xr-x  1 root root 15244 Nov 19  2001 /bin/ping
>
> Bu program CAP_NET_RAW yetkisi istiyor, o yuzden boyle ayarlanmis diye
> biliyorum.

Bu bilgiler için teşekkür ederim, faydalı oldu. bir de ben suid'i
zamanında pek anlamamıştım, demek yaptığı normal kullanıcılara
"capability" vermekmiş. tabii muhtemelen her program için SUID
özelliği yoktur.

>
> [...]
> > olarak sistemi ele geçiren kötü niyetli biri (ki böyle bir kişi az
> > bilgiye de sahip değildir) /sbin'den yada /usr/sbin'den direk komut
> > çalıştırabilir, bu bir güvenlik problemi olarak görülmüyor mu, yada bu
> > kullanıcının alması gereken bir problemdir denip kullanıcıya mı
> > bırakılıyor, ve diğer dağıtımlarda da durum aynı mıdır?
>
> Yani ozetle bu guvenlik ilk bakista gorundugu kadar kolay asilabilecek
> durumda degil.  /sbin, /usr/sbin'in ortalikta olmasi hali, defter-kitap
> acik yapilan bir sinav gibi. :-)

ben bu defter-kitap açık sınavlardan hiç bi sonuç alamadım bugüne
kadar, demek ki ileride birgün kullanıcı hesabım elden giderse /sbin
ve /usr/sbin dizinlerim güvende :)

>
> [...]
> > $ sudo aptitude install istedigim_paket
> >
> > dediğimde şifre olarak root şifresini girdiğimde reddediliyordum.
> > sonradan öğrendim ki burada kendi kullanıcımın şifresini girmem
> > gerekiyormuş. şu anda bu halde sudo'yu kullanabiliyorum. ama bu da
> > bana bir güvenlik problemi gibi geliyor. yine benim kullanıcımı ele
>
> Komutu calistiran kullaniciya ait parolanin istenmesi bana cok dogal
> geliyor.  Sonucta root bir kisiye izin vermis, falan filan islerin
> kendisinden izin alinmaksizin yapilabilmesi icin.  Ama izin verilen kisi,
> gercekten o kisi mi acaba?  Basitce bu denetleniyor.
>
> > geçiren kötü niyetli biri sudo'yu kullanıyor olduğumu düşünüp deneme
> > yapabilir, ve gayet de güzel başarılı sonuçlara ulaşabilir, hatta
> > üstteki durumdan daha kesin bir sonuç olur :) (tabii sudoers
> > dosyasının içeriğine göre). neden sudo benden root şifresini istemiyor
> > da benim kendi şifremi istiyor anlayabilmiş değilim. yada şöyle
> > sorayım sudo'yu bana root şifresini soracak şekilde ayarlayabilir
> > miyim? eğer böyle bir şeyi sağlayamıyorsam benim için sudo kullanmanın
>
> Bunu ayarlamak mumkun, sudoers(5)'den alinti:
>
>     rootpw  If set, sudo will prompt for the root password instead of the
>             password of the invoking user.  This flag is off by default.
>
> [1] http://en.wikipedia.org/wiki/Capability-based_security
>
> --
> roktas
>
>
> --
> To UNSUBSCRIBE, email to debian-user-turkish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>

Reply to:

References:
- güvenlik problemi gibi gelen iki durum
  - From: Azer Demir <azer.demir@gmail.com>
- Re: güvenlik problemi gibi gelen iki durum
  - From: Recai Oktas <roktas@omu.edu.tr>

Prev by Date: debian-user-turkish@lists.debian.org
Next by Date: Re: GRUB Boot splash yapmak
Previous by thread: Re: güvenlik problemi gibi gelen iki durum
Next by thread: Deb paketleri ne secimlerle kurulmus?!
Index(es):
- Date
- Thread