El 1/02/08, Carlos E. R. escribió:
Creo que es un bug nuevo que he descubierto. ¡Miii teessssoooorooooo! Ya te digo, quiero el dvd de platino.
Je, y con diamantes incrustados ¿no? >:-)
(está mandando los registros de audit al syslog, facilidad kernel; lo he descubierto al rebotar el kernel que acabo de compilar).
Vaya. Y ahora que lo leo, ¿recuerdas que bind también sacaba un error al warn? Pues acaban de poner el bug: https://bugzilla.novell.com/show_bug.cgi?id=357892
Tú eres la administradora y lo sabes to. Por definición. Si no lo sabes, se aplica el artículo uno.
:-)
¿Inocuo un script? Buff...
Pues sí, tienes que decirle que es inocuo. Para eso está el wizzard: se pone el perfil en modo "complain", que es un modo en que deja hacer todo, pero registra todos los accesos y graba lo que hubiera hecho en caso de estar en modo "enforced":
audit(1201825200.730:66): type=1502 operation="inode_permission" requested_mask="r" denied_mask="r" name="/proc/meminfo" pid=3756 profile="null-complain-profile"
Claro, también puedes permitir accesos por plantilla.
Mira, este es el perfil del sbin.syslog-ng:
#include <tunables/global> /sbin/syslog-ng flags=(complain) { #include <abstractions/base> #include <abstractions/consoles> #include <abstractions/nameservice>
capability chown, capability dac_override, capability fowner, capability fsetid,
/dev/log w, /dev/tty10 rw, /dev/xconsole rw, /etc/syslog-ng/* r, /sbin/syslog-ng mr, /usr/local/bin/syslog-askandlogrouterip rUx, /var/lib/*/dev/log w, /var/log/** w, /var/run/syslog-ng.pid w, }
así de cortito y simple - con una linea añadida. No tiene acceso a nada más. Si de repente trata de acceder a cualquier otro fichero, se le impide porque se ha vuelto loco o lo han crakeado. Hasta que el administrador no diga lo contrario, de esas vallas no sale. Por decreto.
Buenoooo, eso de "simple", ejem O:-). IBM está desarrollando herramientas de este tipo (de autogestión y autocontrol) que son realmente interesantes. Por ahí van los tiros...
¿Y quien te manda leer el correo como root, de manera que pueda ejecutarse un script que altera ficheros de seguridad? Te mereces lo que te pase >:-)
Era un caso hipotético-teórico, no práctico. Pero no es una situación tan descabellada. Mediante "ingeniería social" puedes estar leyendo un "inocente" mensaje desde Pine (bueno, Alpine :-P) en formato texto, pero con un enlace que lleva a un sitio comprometido que se descarga cualquier cosa "jorobante".
Y, si estuvieras usando un programa de correo vallado por el apparmor, en plan paranoico, ese script lo capan en vivo. Si es que consigues leer el correo de esa guisa...
Jupe, me voy a poner una máquina virtual sólo para leer el correo... o ya puestos, como hace Stallman, que no navega con "navegador" X-) Richard Stallman no usa navegador http://www.theinquirer.es/2008/01/31/richard_stallman_no_usa_navegador.html
Pero es que no hay una herramienta de seguridad universal. Tienes varias cosas: cortafuegos, antivirus, apparmor, políticas... y un segurata vigilando la interfase sentada en la silla.
No, no la hay. Y de todo lo que has enumerado, el menos fiable es el "segurata" que se va a comer su pincho de tortilla al bar a las 11:00 todos los días (y éste no deja registro, bueno, sí, las miguitas en la silla)... :-D
Así es como lo veo yo. Un usuario tecleando es un peligro invallable, sobre todo si tiene privilegios.
Tendrían que desarrollar un "botón de pánico" que permitiera la desconexión de la red del equipo al pulsarlo :-P
El guillermito no usa zypper - usa iexplorer :-P
Pues en cuestión de "sustos al usuario" no creas que se llevan tanta diferencia estos dos X-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org