Re: lug-bg: passwd i chfn prez web?
- Subject: Re: lug-bg: passwd i chfn prez web?
- From: Peter Pentchev <roam@xxxxxxxxxxx>
- Date: Tue, 1 Jun 2004 19:59:22 +0300
On Tue, Jun 01, 2004 at 07:46:35PM +0300, George Danchev wrote:
> On Tuesday 01 June 2004 18:40, Peter Pentchev wrote:
> --cut--
> > > Взима като аргумент криптирана парола(опция -p), няма нужда от пайпове,
> > > expect и прочие ;) Мисля че върви на почти всякъв линуь.
> >
> > Това с криптираната парола като command-line argument може и да е
> > проблем, ако куцо и сакато има право да прави ps awwwfux периодично.
> > Да, ще трябва и много късмет, но все пак... :)
>
> Тука имаше ли някаква защита да не се листва инфо за чужди процеси, демек
> кернела рестриктира достъпа до /proc на per user basis ? grsec, rsbac,
> exec-shield, NSA, FBI, ДС, НСС и какво беше още там ;-)
Да, ама ако apache ти върви като nobody или www, как се пазиш от другите
неща (malicious скриптове на съхостници), които вървят като nobody или
www? :) Още една причина за това, което споменах още в началото -
специално този скрипт да върви като нещо друго.
> > Точно затова BSD pw(8) за useradd/usermod приема файлов дескриптор, не
> > директно паролата. И между другото, умните хора от години си караме с
> > local patch, който David Malone тия дни commit-на, и който позволява
> > pw usermod -H 0, като разликата между -h и -H е в това дали паролата е
> > криптирана :)
>
> Не разбрах в какво се състои пача. Понеже command line опции и environment
> променливи ги приемаме за несигурен начин за обмен на данни, то няма значение
> дали паролата ще се подава криптирана или не (-h, -H) , все пак е видима за
> кратък прозорен от време, ако чуждите процеси не могат да бъдат скрити.
> Тогава трябва да се организира pipe (друго ?) между скрипта и usermod (демек
> през file descr) ... Какво добавя този пач , четене от stdin за usermod ли ?
Не, pw usermod -h 0 винаги си е чело от stdin (или по-точно, -h fdnum
винаги е чело от файлов дескриптор fdnum, никога от command line).
Пачът (и това, което David Malone commit-на във FreeBSD) просто добавя
-H 0, което ти позволява да подадеш *криптирана* парола на stdin, така
че дори и в езици, които не позволяват open("|-"), да можеш да направиш
смело system("echo bfh20dj4u32u | pw usermod -n tanj -H 0") и да не те е
страх от ps awwwfux, който да покаже параметрите на echo.
Уууфф, а сега изчезвам, да чуя все пак последните думи на Васил на
лекцията във ФМИ :) Не че не го слушах в Стара Загора, ама де да знам
дали пък на някой студентовец няма да му хрумне интересно допълнение :)
Поздрави,
Петър
--
Peter Pentchev roam@xxxxxxxxxxx roam@xxxxxxxx roam@xxxxxxxxxxx
PGP key: http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553
because I didn't think of a good beginning of it.
Attachment:
pgpYxy5ypAaAa.pgp
Description: PGP signature
|