Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3007 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  La fin du setuid/setgid

 
 


Dernière réponse
Sujet : La fin du setuid/setgid
axey Pour NetBSD aussi.

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
axey Pour NetBSD aussi.
PinG ca marche que pour Open?
Zzozo

axey a écrit a écrit :

Sauf que la, systrace te donne le droit de sortir de ton bac a sable 10 secondes, a condition que ce soit juste pour jeter des pierres sur le caniche de la vieille qui fait bronzer ses varices sur la pelouse d'en face.




C'est quoi la vielle pour Systrace ? une  machine windows sur le même réseau ? Parce que là je l'engueulerai ... pour ne pas avoir employé les moyens adéquats, en l'occurence le lance-roquettes ... :o .. [:ddr555]
Systrace anti-social ?  noooooonnnn ... [:ddr555]
axey Sauf que la, systrace te donne le droit de sortir de ton bac a sable 10 secondes, a condition que ce soit juste pour jeter des pierres sur le caniche de la vieille qui fait bronzer ses varices sur la pelouse d'en face.
Zzozo

axey a écrit a écrit :

Ce n'est plus un bac a sable, puisqu'il permet maintenant non seulement de jouer bien sagemet dans son coin, mais aussi de faire des betises.




Le fait d'être dans son bac à sable n'a jamais empeché de faire des betises (dans son bac bien sur) ... :D
axey Ce n'est plus un bac a sable, puisqu'il permet maintenant non seulement de jouer bien sagemet dans son coin, mais aussi de faire des betises.
Zzozo Ils ont mis en place le principe de la "Sandbox" en fait si j'ai bien compris ...
axey systrace est un genre de firewall, mais pour les programmes, pas pour le reseau.
 
On definit une liste de regles (tel programme a le droit de lire tel fichier, d'appeller telle fonction du noyau a tel moment, etc), et tout le reste est interdit. Il existe meme des interfaces graphiques (une sous X classique, une sous GTK) qui affichent des boites d'alerte des qu'une application a fait un truc qui n'etait pas defini dans les regles. Ca permet de pouvoir lancer des trucs chelous dont on a pas les sources sans trop flipper.
 
Jusqu'a present, systrace ne savait que limiter les acces.
 
Maintenant, il peut autoriser des trucs supplementaires. Par exemple : pour Apache, et uniquement pour apache, et uniquement a un moment particulier, l'utilisateur "nobody" aura le droit d'ecouter le port 80. Donc plus besoin du tout d'etre root, meme au debut :)
asphro hum hum !!
 
ok ok !!
 
je vois a peu prés !!
 
 
mais alors sur quel procédé repose systrace ?
axey Les bits setuid et setgid permettent de te donner les droits d'un autre utilisateur lorsque tu executes des fichiers qui les possedent.
 
Par exemple quand tu tapes "su", le processus que tu lances est root (immediatement, avant que tu n'aies entre le moindre mot de passe), meme si toi, tu n'es pas root.
 
Donc s'il y a un trou de securite dans un truc setuid ou setgid, tu obtiens un shell avec des privileges autres que ceux que tu as normalement.
 
S'il n'y a plus de setuid ni de setgid tu ne peux faire de mal qu'a toi-meme :)
 
asphro quel sonr les réel impac de setuid et setgid ?
 
je vois certains faire un cinema sur les sticky bit!!
 
mais pour un simple user quel sont c possibilité par rapport a ca ?
 
franchement je vois pas, si tu coté administrations ils sont bien adapté !!
 
 
Eclairer mon ignorance svp !!
Jar Jar

axey a écrit a écrit :

Non, Hurd n'a jamais eu de mecanisme similaire a systrace.


Mais il dispose de mécanismes similaires afin de se passer de setuid/setgid.
axey Non, Hurd n'a jamais eu de mecanisme similaire a systrace.
Jar Jar Ça fait un bout de temps que le Hurd utilise ce genre de trucs.
 
Bizarrement, tout le monde le critique, mais passe quand même son temps à réinventer la roue.
axey Finis les programmes qui tournent sous root et les fichiers setuid/setgid :
 
http://archives.neohapsis.com/arch [...] /0402.html
 

Log message:  
support for privilege elevation.  
 
with privilege elevation no suid or sgid binaries are necessary any longer. Applications can be executed completely unprivileged. Systrace raises the privileges for a single system call depending on the configured policy.  
 
Snif, c'est tout une partie rigolote d'Unix qui disparait :)

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)