forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая локальная уязвимость в Exim"
Отправлено Michael Shigorin, 13-Мрт-16 17:54

> Вопрос знатокам: какие привилегированные действия выполняет exim,
> что ему требуется иметь set-uid root? и нельзя ли его этого флага лишить
Не специалист (тут бы хорошо solardiz или ldv@ позвать), но вообще-то suid root обычно плохой признак. Чем такое можно мотивировать в случае сервиса, который запускается от рута -- решительно не понимаю: ну оставь ты один процесс под рутом, а остальных работяг раскидай по индивидуально пониженным привилегиям, минимально необходимым им для собственно дела (minimum privilege + privilege separation).
Если вдруг им надо делать что-то, будучи запущенными именно от пользователя (показать почтовую очередь, если простым смертным она недоступна напрямую и нет соответствующего API к процессу с достаточными правами) -- ну sgid.
Впрочем, что exim в принципе решето, известно давно, увы.

Исходное сообщение
"Критическая локальная уязвимость в Exim" Отправлено Michael Shigorin, 13-Мрт-16 17:54
> Вопрос знатокам: какие привилегированные действия выполняет exim, > что ему требуется иметь set-uid root? и нельзя ли его этого флага лишить Не специалист (тут бы хорошо solardiz или ldv@ позвать), но вообще-то suid root обычно плохой признак. Чем такое можно мотивировать в случае сервиса, который запускается от рута -- решительно не понимаю: ну оставь ты один процесс под рутом, а остальных работяг раскидай по индивидуально пониженным привилегиям, минимально необходимым им для собственно дела (minimum privilege + privilege separation). Если вдруг им надо делать что-то, будучи запущенными именно от пользователя (показать почтовую очередь, если простым смертным она недоступна напрямую и нет соответствующего API к процессу с достаточными правами) -- ну sgid. Впрочем, что exim в принципе решето, известно давно, увы.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Вопрос знатокам: какие привилегированные действия выполняет exim, >> что ему требуется иметь set-uid root? и нельзя ли его этого флага лишить > Не специалист (тут бы хорошо solardiz или ldv@ позвать), но вообще-то suid > root обычно плохой признак. Чем такое можно мотивировать в случае > сервиса, который запускается от рута -- решительно не понимаю: ну оставь > ты один процесс под рутом, а остальных работяг раскидай по индивидуально > пониженным привилегиям, минимально необходимым им для собственно дела (minimum privilege > + privilege separation). > Если вдруг им надо делать что-то, будучи запущенными именно от пользователя (показать > почтовую очередь, если простым смертным она недоступна напрямую и нет соответствующего > API к процессу с достаточными правами) -- ну sgid. > Впрочем, что exim в принципе решето, известно давно, увы.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру