_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Boris Tobotras 2:5020/510 01 Apr 99 21:42:10
Subj : Security в 2.2.x (capabilities)
________________________________________________________________________________
From: Boris Tobotras <boris@xtalk.msk.su>
>>>>> "Artem" == Artem Chuprina writes:
AK> К сожалению, в 2.2 он включен не будет никогда - вместо него там
AK> используется posix-6 совместимый механизм capabilities. Механизм этот
AK> сложен, заумен и избыточен для 99% применений. (рискну предположить,
AK> что вообще единственное обоснованное его применение - сертификация на
AK> C2)
Это в каком месте C2 требует capabilities?
AK> Вдобавок требует наличия специального утиля, на сегодняший день
AK> отсутствующего. И, в довершение неприятностей, толком не
AK> документирован, а реальную позиксовую документацию достать, по всей
AK> видимости, невозможно.
Да ладно, идея там простая, как три копейки.
Artem> А кстати, можно вкратце изложить хотя бы общую схему работы этого
Artem> механизма? Или сказать, где она внятно описана?
Идешь на altavista, и говоришь ей POSIX capabilities, POSIX.6
говоришь, еще что-то говоришь, и быстро находишь.
Идея, в общем, примитивная -- минимизация привилегий. Root, как
понятие, исчезает. В ядре, вместо проверок на uid==0, ставятся
проверки осмысленные -- имеет ли данный процесс данное право. Сами
права дискретизируются -- право биндиться к привилегированному
порту, право обходить защиту файловой системы, еще три десятка
всяких прав -- читай исходники, /usr/include/linux/capability.h,
комментарии там.
Вырожденный случай реализован сейчас: root имеет все capabilities,
остальные -- никаких. Следующий шаг -- в заголовке ELF тулзой
наставить битиков, и из exec(2) их читать и устанавливать
capabilities для процесса. И все, setuid root программ нет и больше
никогда не будет.
--
Best regards, -- Boris.
Yes, we will be going to OSI, Mars, and Pluto, but not necessarily in
that order. -- Jeffrey Honig
--- ifmail v.2.14dev3
* Origin: Linux inside (2:5020/400)
_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Boris Tobotras 2:5020/510 05 Apr 99 06:03:34
Subj : FYI
________________________________________________________________________________
From: "Stephen C. Tweedie" <sct@redhat.com>
Date: Thu, 1 Apr 1999 17:51:26 +0100 (BST)
Subject: Re: ext3 to include capabilities?
Hi,
On Wed, 31 Mar 1999 05:34:15 -0500 (EST), John Wojtowicz
<wojtowij@erols.com> said:
>> Stephen Tweedie is adding a journalling layer to Linux ext2fs (to become
>> ext3fs) currently. There is also a logging fs (dtfs) for 2.0
> Out of curiosity, is there still the intention of implementing
> the ability to place capabilities (i.e. privs) on files in ext3?
> or ext2 for that matter?
The linux-privs@mit.edu has been working on it: Andrew Morgan's last set
of patches to support all of this (including persistent filesystem
capability masks on ext2) are on
ftp://ftp.guardian.no/pub/free/linux/capabilities
and the 2.2 kernel already understands basic per-process capability
sets.
--Stephen
-
To unsubscribe from this list: send the line "unsubscribe linux-kernel" in
the body of a message to majordomo@vger.rutgers.edu
Please read the FAQ at http://www.tux.org/lkml/
--
Best regards, -- Boris.
Computer Science is the only discipline in which we view adding a new wing
to a building as being maintenance. -- Jim Horning
--- Gnus v5.5/XEmacs 20.3 - "London"
* Origin: Linux inside (2:5020/510@fidonet)