linux user group brescia

On Sat, 25 Oct 2003, Sergio Bevilacqua wrote:

> > Per sicurezza ho appena provato su una macchina protetta da rsbac a
> > cancellare da utente normale un file posseduto da root. Rsbac non
> > interviene in alcun modo, anche se il comando rm non ha alcuna permission
> > sul modulo AUTH.
> >
> sei sicuro che rsbac sia configurato correttamente. il modulo AUTH DEVE
> intervenire

Si...

> > Per risolvere il problema potrebbero essere utile:
> > -se fai rm su un qualsiasi file posseduto da root cosa succede? Se e' il

Mi puoi mandare i log di rsbac relativi alla prova che ti avevo chiesto di 
fare?

> > modulo AUTH a bloccare la cosa dovrebbe bloccarla per qualsiasi file.
> > -rm e' associato a qualche ruolo particolare (o lo eredita dalla shell che
> > lo esegue)?

Se puoi, rispondi alla domanda, e' utile per risolvere il problema.

> beh... già un utente non deve cancellare i file di root, poi AUTH interviene
> perché lui prescinda da questo ogni utente fa quello che è autorizzato a
> fare solo sui file su cui è autorizzato a lavorare. Il blocco di AUTH va
> configurato. Non basta avere il kernel compilato per avere *automaticamente*
> l'autenticazione dei file da parte di rsbac.
> Il sistema su cui sto lavorando è protetto, come dicevo da AUTH, ACL e RC,
> tra gli altri, quindi ho degli utenti associati a ruoli, che sono
> autorizzati a compiere *alcune* azioni du *alcuni* file.
> Il mio problema è che root non può più cancellare gli eseguibili che gli
> appartengono, e devo ridefinire alcuni permessi, ma mi sono perso nella
> documentazione pacdermica e non riesco più a capire doca c'è che non va
> nella mia configurazione. Sicuramente, comunque, il problema sta nel
> controloo incrociato che i vari moduli fanno tra di loro

Ok, auth interviene in programma come "su" o tutte le volte che un 
programma cambia utente (come apache che da user root diventa apache o 
sendmail che da root diventa il particolare utente che spedisce mail...) 
rm controlla i permessi senza dover cambiare utente. Comunque se puoi 
rispondere alle mie domande precedenti e fare quella prova mandando tutti 
i log di rsbac, sarebbe veramente utile per risolvere il problema.

> > P.S.: come sicuramente saprai gia', disabilita' l'opzione di poter
> > attivare/disattivare i moduli via software... durante il debug puoi' usare
> > l'opzione rsbac_softmode
> quella non l'ho nemmeno abilitata a livello di kernel. Ok che è un sistema
> di sviluppo, ma deve essere il più vicino possibile a una configurazione
> funzionante

Cosa vuoi dire? Che lasciare la possibilita' di abilitare e disabilitare 
via software i moduli e' corretto per un sistema in produzione? 
Rsbac_softmode lo usi durante la fase di configurazione, quando hai finito 
lo disabiliti (con un semplice echo nel proc) e da quel momento e' 
impossibile riattivarlo. Pure la doc di rsbac sconsiglia di attivare la 
possibilita' di switch software dei moduli.

Ciao.

Fabrizio.