[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: sendmail, ipmon e altro
Mittente: Soter Mulé
Data: 24 Sep 2001 21:35:21 -0000

> 
> Come mai sendmail non gira chroottato e come utente normale ? E' perche' 
> sarebbe scomodo da configurare/girare ? Oppure perche' di fatto non 
> darebbe effettivi vantaggi ?

ho sentito parlare di una diatriba politica tra theo e djb riguardo
l'mta; oltre a problemi di licenza, theo sostiene che sendmail e' "fully
audited" e quindi e' sicuro cosi' come esce dai maintainer. A sostegno
della tesi non usa alcuna particolare precauzione come quelle indicate.
Boh.

> Tanto per fare delle prove volevo far girare dei prog (tra cui uno 
> script) come utenti scelti da me. Per cui ho creato il mio utente prova 
> e come shell pensavo di mettere nologin. Solo che a quel punto non 
> riesco a fare su prova -c "ecc.". C'e' un modo per farlo se il prog non 
> lo prevede con un opzione apposta.

questo e' interessante. 

e' possibile usare su per far "loggare" un utente senza login

fw# id
uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem), 3(sys), 4(tty),
5(operator), 20(staff), 31(guest)
fw# finger prova
Login: prova                            Name: 
Directory: /home/prova                  Shell: /no/login
Never logged in.
No Mail.
No Plan.
fw# su -m prova 
fw% id
uid=1002(prova) gid=10(users) groups=10(users)
fw% ^D
fw# su -m prova -c date
Mon Sep 24 23:03:18 MEST 2001

> E per farlo girare con un UID non associato a nessun utente ? In quel 
> caso i permessi a cui fare riferimento sarebbero quelli di "other" ?

Questa domanda e' "mistica"... sembrero' stupido, ma voglio spendere la
mia...

"credo" che tutti i processi girino con qualche UID, cioe' associati ad
un numero. Fino a che un processo non effettua qualche operazione su
quel numero, non accade un bel nulla. Cioe' se non voglio sapere la home
dell'utente corrispondente, la sua shell... quel numero resta
"inutilizzato", che l'utente esista o meno... ma i permessi resteranno
quelli relativi a quel numero, importa poco se esiste o meno.

Ho detto una tavanata?

.s


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005