linux user group brescia

> From: Bauno <bauno a inwind.it>
>
> > su un server e' anche concettualmente sbagliato mettere un compilatore c.
>
> Manca un "secondo me"...

Mmm, tipico del ghido assolutizzare una affermazione che puo' essere sensata
in certe situazioni.  D'altra parte anche la mia affermazione iniziale
era 'assoluta', e quindi l'errore e' prima di tutto mio.  Rimango convinto
che nella situazione tipica del post iniziale (non si trattava affatto di
un server, ma di uno che installa linux per provarlo e poi... in tale
situazione, perche' non installare fin dall'inizio il compilatore c?

Altrimenti poi succede esattamente quello che e' successo: "ho provato
./configure ma mi da errore..." e sembra che sia tutta colpa di linux.

>
> > gcc secondo me vuol dire librerie devel e altro e quindi in generale una
> > ulteriore conplicazione del sistema.
>
> ...ma x favore, Marco...gcc vuol dire qualche binario, qualche libreria e 
> qualche script. Come ne hai a bizzeffe sul server. Considerazioni di spazio 
> a parte, puoi citarmi qualche caso concreto in cui ha generato problemi?

Beh, un esempio divertente ce l'ho io, ed e' proprio legato al worm che
gira ora.  Premetto comunque che ora riferisco solo opinioni che sono
girate.

La questione di fondo e' che il worm 'slapper', per diffondersi ha bisogno
del compilatore c sulla macchina ospite, infatti viene creato un file
/tmp/.bugtraq.c, che poi viene compilato...  Ora, i primi commenti
(letti su slashdot) sostenevano che quindi la debolezza del sistema
stava nella presenza del compilatore c, cosa di per se anche vera, ma
parziale: non e' il 'compilatore c' in gioco, questo riguarda il caso
specifico, semmai la conclusione da trarre e' che in un server e' bene
togliere TUTTO quello che non serve strettamente.   Ma su questa linea
di ragionamento si dovrebbe continuare, aggiungendo che e' bene (ad esempio)
montare in 'ro' tutti i filesystems che non richiedono per assoluta 
necessita' la scrittura (quindi /tmp e /var, essenzialmente), ecc., ecc.
E su questo penso siamo tutti d'accordo.

Ora pero' riporto uno dei commenti, che e' a dir poco spassoso e che fa
capire dove puo' condurre un ragionamento apparentemente corretto:

1. E' bene che 'apache' NON giri come 'root', ma come un qualche utente senza
particolari privilegi, ad esempio 'apache'.  OK.  Notasi infatti che negli
alert relativi a 'slapper' si dice che, dopo essere stati attaccati dal
worm e' 'possibile' una 'local priviledge escalation' per diventare root,
cosa che pero' richiede la presenza di un'altra vulnerabilita'.

2. Come conseguenza del punto 1, la compilazione del '.bugtraq.c' avverrebbe
come utente 'apache'.

Ora viene il bello:

3. Ergo la cosa migliore e' fare si che SOLO root possa eseguire
compilazioni  !!!

Purtroppo non credo si possa raggiungere ancora l'originale di questa perla 
di saggezza.

mp