[LUGOS] RE: Amavis - se en mali problemcek oz. nesigurnost!!!
Borut Mrak
b at aufbix.org
Sun Nov 18 13:41:49 CET 2001
On Sunday 18 November 2001 12:18, Branko F. Gracner wrote:
> > 'antivir' (namrec sicer ne dela). Trenutno sem naredil:
> > chown antivir amavisd
> > chmod u+s amavisd
>
> to je naceloma cisto ok, ce doticni program ne rabi kaksnih posebnih
> nastavitev okolja, ali pa cesa podobnega, kar pise v /etc/profile in
> v ~/.profile. v tem primeru pa izvedes kot root:
Ne, to nikakor ni OK. Zdaj ti lahko *vsak* uporabnik na sistemu pozene
amavis kot ta user in...noja...ce obstaja kaksen bug v amavisu, je
cisto mozno, da bo uporabnik tako pridobil UID antivir.
Pred kaksnim letom je nekdo vdrl v apache.org tako, da je najprej dobil
UID od webserverja (ali mysql-a ali necesa tretjega, ne spomnim se
tocno) in potem naprej roota. Vsako moznost za pridobitev dodatnih
pravic je treba zatreti ze v osnovi.
Kot root si naredi wrapper s spodnjo vsebino, ki jo je napisal ze
Branko.
> su - antivir program_ki_se_naj_pozene
To je the way to go.
lp,
--
Borut
b at aufbix.org
------------
Hard work has a future payoff. Laziness pays off now.
More information about the lugos-list
mailing list