Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: Възможен ли е такъв FIREWALL


  • Subject: Re: lug-bg: Възможен ли е такъв FIREWALL
  • From: George Danchev <danchev@xxxxxxxxx>
  • Date: Wed, 20 Oct 2004 07:50:33 +0300

On Tuesday 19 October 2004 20:44, Georgi Chorbadzhiyski wrote:
> George Danchev wrote:
> > Та си мисля, че ако админа не е наясно или не би се сетил, то ядрото е
> > наясно какви fake magics ги правим от user-space и тука вече не съм
> > сигурен дали и при --cmd-owner ще бидем изловени .. не ми се правят test
> > cases или пък четат netfilter kernel sources (няма да ги разбера де;-)
>
> Не ми се вярва да се излови. Ако си направя собствен namespace и стартирам
> програмата от него, пътят ще съвпада със зададеният. Модула няма начин да
> разбере че изпълнявам друга програма ако знае само пътя. Освен вместо
> --cmd-owner да се сложи опция --cmd-inode :-)

Дай пример, че нещо не те разбрах. 
Ако не трябва да изпълняваш /usr/bin/kmail, пък го правиш например с нещо като 
rname (хитра програмка е де ;-):
./rname fakename /usr/bin/gnome-terminal
То се разбира, че си изпълнил команден ред fakename, пък се е 
стартирал /usr/bin/kmail
# cat /proc/`pidof fakename`/cmdline
fakename
# ls -la /proc/`pidof fakename`/exe
lrwxrwxrwx  1 root root 0 2004-10-20 07:03 /proc/22313/exe -> /usr/bin/kmail

пак от /proc/`pidof fakename`/ е ясно коя ти е root и cwd ... ако без да искаш 
си се chroot-нал ;-) PID-a е един и същи понеже процеса е само един, но има 
разлика (и тя е известна) в това което си подал като команда и това което се е 
стартирало (като абсолютен път до него).

Иначе това с inode е хитро, но в случая е ясно, че си 
стартирал  /usr/bin/kmail и без него. От тук вече може да се каже: 
*забранявам на всички да правят блабла, освен на /usr/bin/kmail
*разрешавам на всички да правят блабла, освен на /usr/bin/kmail

А това, че ти си имаш /home/user/progs/bin/kmail, не е от голямо значение. Е 
сега не съм убеден лично дали точно това прави модула, но в ядрото има 
routines да се провери cmdline и absolute path (file inode също)... 
най-малкото ги репортва в /proc, а там далеч не се докладва всичко което 
ядрото знае за процесите. Демек бегане от ядрото няма и спрат ли ти тока 
свише -> лошо ;-) Т.е не вярвам на Пенчев, че няма смисъл _и_ от такава 
опция;-)

-- 
pub 4096R/0E4BD0AB  2003-03-18  <keyserver.bu.edu ; pgp.mit.edu>
fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB 
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.