The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Патч для управления IPFW2 непривилегированным поль..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Патч для управления IPFW2 непривилегированным поль..."
Сообщение от opennews (??) on 10-Окт-05, 14:36 
Патч (http://butcher.heavennet.ru/ipfw_ioctl/) добавляет возможность управлять файрволом во FreeBSD через псевдо-устройство /dev/ipfwctl. Права доступа к этому пвсевдо-устройству определяют разрешённые действия над файрволом. Для изменения состояния файрвола необходимы права для записи, для просмотра состояния - права для чтения.

URL: http://butcher.heavennet.ru/ipfw_ioctl/
Новость: http://www.opennet.me/opennews/art.shtml?num=6215

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от edwin (??) on 10-Окт-05, 14:36 
На мой взгляд для решения проблемы раздачи подобных прав sudo все же еффективнее.
Хотя сама идея небезинтерестна.
Cообщить модератору | Наверх | ^

2. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от JackSoft email(??) on 10-Окт-05, 21:22 
Плодим дыры в системе... Зачем? Разве удобство (не факт! ИМНО настраивать фоярвол должен кто-то один) стоит безопасности?
Cообщить модератору | Наверх | ^

3. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от uldus (ok) on 10-Окт-05, 21:32 
>Плодим дыры в системе... Зачем? Разве удобство (не факт! ИМНО настраивать фоярвол
>должен кто-то один) стоит безопасности?

Наоборот, решение как раз для повышения безопасности, чтобы не пускать всякие считалки трафика и прочие скрипты из под рута. Обычным юзерам права на девайс не дадут пошалить.

Cообщить модератору | Наверх | ^

8. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от chip email(??) on 11-Окт-05, 12:50 
>> Наоборот, решение как раз для повышения безопасности, чтобы не пускать всякие считалки трафика и прочие скрипты из под рута.

это зависит от самого приложения. Никто не мешает запуститься от рута и сбросить привилегии.

>> Обычным юзерам права на девайс не дадут пошалить.

Сразу вспоминается истории с /dev/io.

Cообщить модератору | Наверх | ^

5. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от butcher (ok) on 11-Окт-05, 08:21 
Во-первых, по-умолчанию эта возможность отключена и включаете её вы на своё усмотрение при помощи перекомпиляции модулей или ядра. В системе, на мой взгляд, есть и более небезопасные опции ядра.
Во-вторых, права доступа распределяете вы, через devfs.conf. Это было сделано в первую очередь для того, чтобы позволить скриптам работать с еньшими правами. Создаёте какого-нибудь пользователя, делаете его владельцем /dev/ipfwctl и даёте ему необходимые права. Если это будут права для чтения, то он сможет только читать состояние файрвола, а это ipfw show + действия для просмотра таблиц (в случае с dummynet - просмотр правил dummynet). Для всего остального нужны права для записи в /dev/ipfwctl.
Cообщить модератору | Наверх | ^

9. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от chip email(??) on 11-Окт-05, 12:52 
>> Создаёте какого-нибудь пользователя, делаете его владельцем /dev/ipfwctl и даёте ему необходимые права.

Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть всегда == id(0)

Cообщить модератору | Наверх | ^

11. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от butcher (ok) on 11-Окт-05, 13:40 
>Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть
>всегда == id(0)

зачем? это уже зависит от того какие цели преследуются.
root всегда может воспользоваться обычным методом - RAW Sockets, который обычному пользователю недоступен. К тому же, даже если рут попытается открыть файл, который принадлежит другому пользователю, он его откроет.

Cообщить модератору | Наверх | ^

14. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от chip email(ok) on 12-Окт-05, 12:07 
>>Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть
>>всегда == id(0)
>
>зачем?

Всё достаточно банально. В группу можно включить N пользователей.

>root всегда может воспользоваться обычным методом - RAW Sockets, который обычному пользователю

Это исторически сложившийся подход. Как и использовать /bin/csh в качестве root shell.

Cообщить модератору | Наверх | ^

4. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от _ExN_ on 10-Окт-05, 22:08 
Кстати о  /dev/ipfwctl .. Очень перспективная дея . Например совместимость , допустим зделать единый интерфейс для доступа к базе через dev и будь то pg my или еще че нибудь , можно былобы с любых приложений писать или читать данные . Прмеров много.
Можно былобы зделать специальный dev для каждого пользователя (тоесть доступ к деву тама useradd -d /home/exn -s /bin/bash_2099 -dev /dev/exn ) а тама ядро все права контролировалоб //

ой , понесло меня // короче тема перспективная !!!  

Cообщить модератору | Наверх | ^

10. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от chip email(??) on 11-Окт-05, 12:53 
>>>     Кстати о  /dev/ipfwctl .. Очень перспективная дея . Например совместимость , допустим зделать единый интерфейс для доступа к базе через dev и будь то pg my или еще че нибудь , можно былобы с любых приложений писать или читать данные . Прмеров много.
>>>    Можно былобы зделать специальный dev для каждого пользователя (тоесть доступ к деву тама useradd -d /home/exn -s /bin/bash_2099 -dev /dev/exn ) а тама ядро все права контролировалоб //

>>>    ой , понесло меня // короче тема перспективная !!!  

В газенваген с такими идеями. Был уже пример реализации httpd в ядре. Достаточно. //кто не понял Гугль в помощь.

Cообщить модератору | Наверх | ^

6. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от Moralez (ok) on 11-Окт-05, 09:02 
во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой BSD....
Cообщить модератору | Наверх | ^

7. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от butcher (ok) on 11-Окт-05, 09:41 
>во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой
>BSD....

:))

Cообщить модератору | Наверх | ^

12. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от _Nick_ (??) on 12-Окт-05, 00:37 
>во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой
>BSD....


переходи на Gentoo :)))

та же херня, тока с Линуховым ядром!

Cообщить модератору | Наверх | ^

13. "Патч для управления IPFW2 непривилегированным пользователем"
Сообщение от citrin email(ok) on 12-Окт-05, 11:26 
Все равно непонятно в чем принципиальное приемущество перед использованием sudo
Cообщить модератору | Наверх | ^

15. "OpenNews: Патч для управления IPFW2 непривилегированным поль..."
Сообщение от Аноним on 12-Окт-05, 17:20 
Спасибо автору, ждем кода включат в основную ветку.
Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру