The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Патч для управления IPFW2 непривилегированным пользователем

10.10.2005 14:00

Патч добавляет возможность управлять файрволом во FreeBSD через псевдо-устройство /dev/ipfwctl. Права доступа к этому пвсевдо-устройству определяют разрешённые действия над файрволом. Для изменения состояния файрвола необходимы права для записи, для просмотра состояния - права для чтения.

  1. Главная ссылка к новости (http://butcher.heavennet.ru/ip...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: ipfw, patch, freebsd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (15) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, edwin (??), 14:36, 10/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На мой взгляд для решения проблемы раздачи подобных прав sudo все же еффективнее.
    Хотя сама идея небезинтерестна.
     
  • 1.2, JackSoft (??), 21:22, 10/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Плодим дыры в системе... Зачем? Разве удобство (не факт! ИМНО настраивать фоярвол должен кто-то один) стоит безопасности?
     
     
  • 2.3, uldus (ok), 21:32, 10/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Плодим дыры в системе... Зачем? Разве удобство (не факт! ИМНО настраивать фоярвол
    >должен кто-то один) стоит безопасности?

    Наоборот, решение как раз для повышения безопасности, чтобы не пускать всякие считалки трафика и прочие скрипты из под рута. Обычным юзерам права на девайс не дадут пошалить.

     
     
  • 3.8, chip (??), 12:50, 11/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >> Наоборот, решение как раз для повышения безопасности, чтобы не пускать всякие считалки трафика и прочие скрипты из под рута.

    это зависит от самого приложения. Никто не мешает запуститься от рута и сбросить привилегии.

    >> Обычным юзерам права на девайс не дадут пошалить.

    Сразу вспоминается истории с /dev/io.

     
  • 2.5, butcher (ok), 08:21, 11/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, по-умолчанию эта возможность отключена и включаете её вы на своё усмотрение при помощи перекомпиляции модулей или ядра. В системе, на мой взгляд, есть и более небезопасные опции ядра.
    Во-вторых, права доступа распределяете вы, через devfs.conf. Это было сделано в первую очередь для того, чтобы позволить скриптам работать с еньшими правами. Создаёте какого-нибудь пользователя, делаете его владельцем /dev/ipfwctl и даёте ему необходимые права. Если это будут права для чтения, то он сможет только читать состояние файрвола, а это ipfw show + действия для просмотра таблиц (в случае с dummynet - просмотр правил dummynet). Для всего остального нужны права для записи в /dev/ipfwctl.
     
     
  • 3.9, chip (??), 12:52, 11/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >> Создаёте какого-нибудь пользователя, делаете его владельцем /dev/ipfwctl и даёте ему необходимые права.

    Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть всегда == id(0)

     
     
  • 4.11, butcher (ok), 13:40, 11/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть
    >всегда == id(0)

    зачем? это уже зависит от того какие цели преследуются.
    root всегда может воспользоваться обычным методом - RAW Sockets, который обычному пользователю недоступен. К тому же, даже если рут попытается открыть файл, который принадлежит другому пользователю, он его откроет.

     
     
  • 5.14, chip (ok), 12:07, 12/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть
    >>всегда == id(0)
    >
    >зачем?

    Всё достаточно банально. В группу можно включить N пользователей.

    >root всегда может воспользоваться обычным методом - RAW Sockets, который обычному пользователю

    Это исторически сложившийся подход. Как и использовать /bin/csh в качестве root shell.

     

  • 1.4, _ExN_ (?), 22:08, 10/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати о  /dev/ipfwctl .. Очень перспективная дея . Например совместимость , допустим зделать единый интерфейс для доступа к базе через dev и будь то pg my или еще че нибудь , можно былобы с любых приложений писать или читать данные . Прмеров много.
    Можно былобы зделать специальный dev для каждого пользователя (тоесть доступ к деву тама useradd -d /home/exn -s /bin/bash_2099 -dev /dev/exn ) а тама ядро все права контролировалоб //

    ой , понесло меня // короче тема перспективная !!!  

     
     
  • 2.10, chip (??), 12:53, 11/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>>     Кстати о  /dev/ipfwctl .. Очень перспективная дея . Например совместимость , допустим зделать единый интерфейс для доступа к базе через dev и будь то pg my или еще че нибудь , можно былобы с любых приложений писать или читать данные . Прмеров много.
    >>>    Можно былобы зделать специальный dev для каждого пользователя (тоесть доступ к деву тама useradd -d /home/exn -s /bin/bash_2099 -dev /dev/exn ) а тама ядро все права контролировалоб //

    >>>    ой , понесло меня // короче тема перспективная !!!  

    В газенваген с такими идеями. Был уже пример реализации httpd в ядре. Достаточно. //кто не понял Гугль в помощь.

     

  • 1.6, Moralez (ok), 09:02, 11/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой BSD....
     
     
  • 2.7, butcher (ok), 09:41, 11/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой
    >BSD....

    :))

     
  • 2.12, _Nick_ (??), 00:37, 12/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой
    >BSD....


    переходи на Gentoo :)))

    та же херня, тока с Линуховым ядром!

     

  • 1.13, citrin (ok), 11:26, 12/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все равно непонятно в чем принципиальное приемущество перед использованием sudo
     
  • 1.15, Аноним (-), 17:20, 12/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо автору, ждем кода включат в основную ветку.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру