rsbac e canecllazione
Fabrizio Morbini
fabrizio.morbini a libero.it
Ven 24 Ott 2003 21:01:30 UTC
On Fri, 24 Oct 2003, Sergio Bevilacqua wrote:
> I messaggi di log di rsbac sono tutti lì. quello che c'era al posto di
> "[...]" erano informazioni di poco interesse, tipo pid, ppid, tid e attr,
> secondo me nulla di interessante da questo punto di vista.
> beh... rm deve rimuovere un file appartenente all'utente root, quindi deve
> fare uno switch ad uid 0 (root) per poter cancellare quel file. Il sistema è
> protetto da AUTH, ACL, RC e FF, ma il messaggio di errore (ripeto che quello
> che ho incluso è tutto quello che c'è e contine etutte le parti
> interessanti) è autografato dal solo modulo AUTH.
>
> Per ora comunque ho risolto con:
> switch_module AUTH 0
> rm -f /usr/sbin/httpd2
> switch_module AUTH 1
>
> solo che mi interesserebbe sapere come risolvere la questione.
Per sicurezza ho appena provato su una macchina protetta da rsbac a
cancellare da utente normale un file posseduto da root. Rsbac non
interviene in alcun modo, anche se il comando rm non ha alcuna permission
sul modulo AUTH.
Per risolvere il problema potrebbero essere utile:
-se fai rm su un qualsiasi file posseduto da root cosa succede? Se e' il
modulo AUTH a bloccare la cosa dovrebbe bloccarla per qualsiasi file.
-rm e' associato a qualche ruolo particolare (o lo eredita dalla shell che
lo esegue)?
Ciao.
Fabrizio.
P.S.: come sicuramente saprai gia', disabilita' l'opzione di poter
attivare/disattivare i moduli via software... durante il debug puoi' usare
l'opzione rsbac_softmode
Maggiori informazioni sulla lista
Lug
|