Discussione:
acl disobbediente
(troppo vecchio per rispondere)
CBM64
2020-05-03 19:00:37 UTC
Permalink
qualcuno sa perche' root riesce ad editare il file " noroot " , anche
dopo aver lanciato i comandi che vedete qui sotto?


***@slack142:/mnt/piccolo$ touch noroot

***@slack142:/mnt/piccolo$ setfacl -m u:root:--- noroot

***@slack142:/mnt/piccolo$ getfacl noroot
# file: noroot
# owner: ut1
# group: users
user::rw-
user:root:---
group::r--
mask::r--
other::r--


direi che root non puo' leggere, scrivere ed eseguire "noroot" , e
facendo login come root la verifica ce lo conferma

***@slack142:/mnt/piccolo# getfacl noroot
# file: noroot
# owner: ut1
# group: users
user::rw-
user:root:---
group::r--
mask::r--
other::r--


tuttavia il file come e' perfettamente editabile da rotto. cosa sbaglio?
rootkit
2020-05-03 19:19:15 UTC
Permalink
Post by CBM64
qualcuno sa perche' root riesce ad editare il file " noroot " , anche
dopo aver lanciato i comandi che vedete qui sotto?
azzardo: perché è root?
ma anche ipotizzando che funzioni, considerato che root può diventare ut1
come e quando vuole, che senso ha quello che stai facendo?
CBM64
2020-05-03 19:28:45 UTC
Permalink
Post by rootkit
Post by CBM64
qualcuno sa perche' root riesce ad editare il file " noroot " , anche
dopo aver lanciato i comandi che vedete qui sotto?
azzardo: perché è root?
ma anche ipotizzando che funzioni, considerato che root può diventare ut1
come e quando vuole, che senso ha quello che stai facendo?
la prova consiste nel vedere fino a che punto posso limitare root.
se lascio nella mia /home un file di questo tipo

tel_amante

al cui interno vi e' il numero di telefono dell'amante, vorrei che root
(e gli altri utenti) non possano leggerlo.
Ma la curiosita' piu' grossa e' capire perche la limitazione non
funziona. provato su slack e centos , non si sa mai che abbiamo
comportamenti differenti.
ovvio che root puo' diventare chi vuole quando vuole, ma questo non
placa la mia curiosita'.
rootkit
2020-05-03 19:54:18 UTC
Permalink
Post by CBM64
la prova consiste nel vedere fino a che punto posso limitare root.
non puoi limitarlo. l'unico modo è attraverso un security module
(selinux) che però root può ovviamente disabilitare.
ma poi chi lo limita, un utente normale?
Post by CBM64
se lascio nella mia /home un file di questo tipo
tel_amante
al cui interno vi e' il numero di telefono dell'amante, vorrei che root
(e gli altri utenti) non possano leggerlo.
lo metti in un vault criptato.
Post by CBM64
Ma la curiosita' piu' grossa e' capire perche la limitazione non
funziona.
perché è così by design, da sempre.
la prima cosa che s'impara su *nix è che c'è il superuser.
Piergiorgio Sartor
2020-05-03 20:55:12 UTC
Permalink
On 03/05/2020 21.28, CBM64 wrote:
[...]
Post by CBM64
la prova consiste nel vedere fino a che punto posso limitare root.
Non puoi limitarlo.

root puo` creare un nuovo kernel, con
backdoor, fare il reboot, e puf.

Quello che si puo` fare e` limitare i
processi che girano con in permessi di
root, in modo che, se bucati, non siano
in grado di fare troppi danni.

bye,
--
piergiorgio
Valerio Vanni
2020-05-03 20:22:24 UTC
Permalink
Post by CBM64
qualcuno sa perche' root riesce ad editare il file " noroot " , anche
dopo aver lanciato i comandi che vedete qui sotto?
root è il cavaliere nero ;-)
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
rootkit
2020-05-03 20:55:50 UTC
Permalink
Post by Valerio Vanni
Post by CBM64
qualcuno sa perche' root riesce ad editare il file " noroot " , anche
dopo aver lanciato i comandi che vedete qui sotto?
root è il cavaliere nero ;-)
esatto, questo è il link alla documentazione :-)


Continua a leggere su narkive:
Loading...