форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Патч для управления IPFW2 непривилегированным поль..."

Сообщение от opennews (??) on 10-Окт-05, 14:36

Патч (http://butcher.heavennet.ru/ipfw_ioctl/) добавляет возможность управлять файрволом во FreeBSD через псевдо-устройство /dev/ipfwctl. Права доступа к этому пвсевдо-устройству определяют разрешённые действия над файрволом. Для изменения состояния файрвола необходимы права для записи, для просмотра состояния - права для чтения. URL: http://butcher.heavennet.ru/ipfw_ioctl/ Новость: https://www.opennet.ru/opennews/art.shtml?num=6215

Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Патч для управления IPFW2 непривилегированным пользователем"

Сообщение от edwin (??) on 10-Окт-05, 14:36

На мой взгляд для решения проблемы раздачи подобных прав sudo все же еффективнее. Хотя сама идея небезинтерестна.

Cообщить модератору | Наверх | ^

2. "Патч для управления IPFW2 непривилегированным пользователем"

Сообщение от JackSoft (??) on 10-Окт-05, 21:22

Плодим дыры в системе... Зачем? Разве удобство (не факт! ИМНО настраивать фоярвол должен кто-то один) стоит безопасности?

Cообщить модератору | Наверх | ^

	3. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от uldus (ok) on 10-Окт-05, 21:32
	>Плодим дыры в системе... Зачем? Разве удобство (не факт! ИМНО настраивать фоярвол >должен кто-то один) стоит безопасности? Наоборот, решение как раз для повышения безопасности, чтобы не пускать всякие считалки трафика и прочие скрипты из под рута. Обычным юзерам права на девайс не дадут пошалить.
	Cообщить модератору | Наверх | ^

	8. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от chip (??) on 11-Окт-05, 12:50
	>> Наоборот, решение как раз для повышения безопасности, чтобы не пускать всякие считалки трафика и прочие скрипты из под рута. это зависит от самого приложения. Никто не мешает запуститься от рута и сбросить привилегии. >> Обычным юзерам права на девайс не дадут пошалить. Сразу вспоминается истории с /dev/io.
	Cообщить модератору | Наверх | ^

	5. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от butcher (ok) on 11-Окт-05, 08:21
	Во-первых, по-умолчанию эта возможность отключена и включаете её вы на своё усмотрение при помощи перекомпиляции модулей или ядра. В системе, на мой взгляд, есть и более небезопасные опции ядра. Во-вторых, права доступа распределяете вы, через devfs.conf. Это было сделано в первую очередь для того, чтобы позволить скриптам работать с еньшими правами. Создаёте какого-нибудь пользователя, делаете его владельцем /dev/ipfwctl и даёте ему необходимые права. Если это будут права для чтения, то он сможет только читать состояние файрвола, а это ipfw show + действия для просмотра таблиц (в случае с dummynet - просмотр правил dummynet). Для всего остального нужны права для записи в /dev/ipfwctl.
	Cообщить модератору | Наверх | ^

	9. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от chip (??) on 11-Окт-05, 12:52
	>> Создаёте какого-нибудь пользователя, делаете его владельцем /dev/ipfwctl и даёте ему необходимые права. Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть всегда == id(0)
	Cообщить модератору | Наверх | ^

	11. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от butcher (ok) on 11-Окт-05, 13:40
	>Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть >всегда == id(0) зачем? это уже зависит от того какие цели преследуются. root всегда может воспользоваться обычным методом - RAW Sockets, который обычному пользователю недоступен. К тому же, даже если рут попытается открыть файл, который принадлежит другому пользователю, он его откроет.
	Cообщить модератору | Наверх | ^

	14. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от chip (ok) on 12-Окт-05, 12:07
	>>Полагаю, в данном случае корректнее оперировать правами группы. Пользователь же должен быть >>всегда == id(0) > >зачем? Всё достаточно банально. В группу можно включить N пользователей. >root всегда может воспользоваться обычным методом - RAW Sockets, который обычному пользователю Это исторически сложившийся подход. Как и использовать /bin/csh в качестве root shell.
	Cообщить модератору | Наверх | ^

4. "Патч для управления IPFW2 непривилегированным пользователем"

Сообщение от _ExN_ on 10-Окт-05, 22:08

Кстати о  /dev/ipfwctl .. Очень перспективная дея . Например совместимость , допустим зделать единый интерфейс для доступа к базе через dev и будь то pg my или еще че нибудь , можно былобы с любых приложений писать или читать данные . Прмеров много. Можно былобы зделать специальный dev для каждого пользователя (тоесть доступ к деву тама useradd -d /home/exn -s /bin/bash_2099 -dev /dev/exn ) а тама ядро все права контролировалоб // ой , понесло меня // короче тема перспективная !!!

Cообщить модератору | Наверх | ^

	10. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от chip (??) on 11-Окт-05, 12:53
	>>>     Кстати о  /dev/ipfwctl .. Очень перспективная дея . Например совместимость , допустим зделать единый интерфейс для доступа к базе через dev и будь то pg my или еще че нибудь , можно былобы с любых приложений писать или читать данные . Прмеров много. >>>    Можно былобы зделать специальный dev для каждого пользователя (тоесть доступ к деву тама useradd -d /home/exn -s /bin/bash_2099 -dev /dev/exn ) а тама ядро все права контролировалоб // >>>    ой , понесло меня // короче тема перспективная !!!   В газенваген с такими идеями. Был уже пример реализации httpd в ядре. Достаточно. //кто не понял Гугль в помощь.
	Cообщить модератору | Наверх | ^

6. "Патч для управления IPFW2 непривилегированным пользователем"

Сообщение от Moralez (ok) on 11-Окт-05, 09:02

во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой BSD....

Cообщить модератору | Наверх | ^

	7. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от butcher (ok) on 11-Окт-05, 09:41
	>во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой >BSD.... :))
	Cообщить модератору | Наверх | ^

	12. "Патч для управления IPFW2 непривилегированным пользователем"
	Сообщение от _Nick_ (??) on 12-Окт-05, 00:37
	>во фряхе "-s /bin/bash_2099"? Буэээ... в тот же день уйду на другой >BSD.... переходи на Gentoo :))) та же херня, тока с Линуховым ядром!
	Cообщить модератору | Наверх | ^

13. "Патч для управления IPFW2 непривилегированным пользователем"

Сообщение от citrin (ok) on 12-Окт-05, 11:26

Все равно непонятно в чем принципиальное приемущество перед использованием sudo

Cообщить модератору | Наверх | ^

15. "OpenNews: Патч для управления IPFW2 непривилегированным поль..."

Сообщение от Аноним on 12-Окт-05, 17:20

Спасибо автору, ждем кода включат в основную ветку.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема