История изменений
Исправление firkax, (текущая версия) :
Это решение через жопу.
Избавься от своих шаблонов и всё станет понятнее. Файлы доступны не пользователю, а низкоуровневому uid-у. То, что ты на этот uid цепляешь понятие пользователя - твоё личное дело. Делать это совершенно не обязательно.
Кроме того, если процесс требует рута – никакое жонглирование UID не поможет.
Перефразирую: если процесс требует лишних прав, то их ограничение не сработает. Рут это или неадекватные попытки лезть куда не надо - не суть. Решения два: либо разрешить проге всё что она хочет (запустить от рута/выключить mac), либо пофиксить прогу чтобы не лазила куда не следует.
Блджад, да не делается это UNIX правами! Почитай, что такое MAC. Почитай, какую функциональность обеспечивает, например, AppArmor. И подумай.
Ну там не только доступ к файлам, да. Есть и другие ограничения, но я просто на примере файлов показываю всю костыльность mac. Часть других функций реализована (более адекватно, хотя и там не идеал) в capabilities, часть, может вообще нигде. А вот не было бы этих apparmor-ных костылей, может сделали бы нормальное управление детальными правами.
UNIX permissions – ограничение на уровне пользователя, пользователь может изменять это ограничение
Ты бредишь. Вот у тебя есть пользователь (не рут), suid бинарников (которые можно взломать) рядом нет, и есть файл /dev/sda, которому unix-правами (uid=gid=0, mode=0600) тебе закрыт доступ. Измени это ограничение и хотя бы прочитай содержимое.
Они не могут ограничить приложение, работающее под рутом. Так доступно?
Это тавтология. Приложение под рутом означает что в концепции unix-прав ему выданы полные права на всё и его соответственно ограничивать и не нужно. MAC тоже не может ограничить приложение, если по условию задачи у него полный доступ ко всему без ограничений.
С аппармором тебе нужно найти две уязвимости. Без аппармора – одну. Ферштейн?
Ну разве что так. Компенсируем общее низкое качество безопасности (везде баги и дыры) накидыванием дополнительных её слоёв, авось хоть один не смогут взломать.
Исходная версия firkax, :
Это решение через жопу.
Избавься от своих шаблонов и всё станет понятнее. Файлы доступны не пользователю, а низкоуровневому uid-у. То, что ты на этот uid цепляешь понятие пользователя - твоё личное дело. Делать это совершенно не обязательно.
Кроме того, если процесс требует рута – никакое жонглирование UID не поможет.
Перефразирую: если процесс требует лишних прав, то их ограничение не сработает. Рут это или неадекватные попытки лезть куда не надо - не суть. Решения два: либо разрешить проге всё что она хочет (запустить от рута/выключить mac), либо пофиксить прогу чтобы не лазила куда не следует.
Блджад, да не делается это UNIX правами! Почитай, что такое MAC. Почитай, какую функциональность обеспечивает, например, AppArmor. И подумай.
Ну там не только доступ к файлам, да. Есть и другие ограничения, но я просто на примере файлов показываю всю костыльность mac. Часть других функций реализована (более адекватно, хотя и там не идеал) в capabilities, часть, может вообще нигде. А вот не было бы этих apparmor-ных костылей, может сделали бы нормальное управление детальными правами.
UNIX permissions – ограничение на уровне пользователя, пользователь может изменять это ограничение
Ты бредишь. Вот у тебя есть пользователь (не рут), suid бинарников (которые можно взломать) рядом нет, и есть файл /dev/sda, которому unix-правами (uid=gid=0, mode=0600) тебе закрыт доступ. Измени это ограничение и хотя бы прочитай содержимое.
Они не могут ограничить приложение, работающее под рутом. Так доступно?
Это тавтология. Приложение под рутом означает что в концепции unix-прав ему выданы полные права на всё и его соответственно ограничивать и не нужно. MAC тоже не может ограничить приложение, если по условию задачи у него полный доступ ко всему без ограничений.
С аппармором тебе нужно найти две уязвимости. Без аппармора – одну. Ферштейн?
Ну разве что так. КОмпенсирует общее низкое качество безопасности накидыванием дополнительных её слоёв, авось хоть один не смогут взломать.