The Art of LART

Posted by Jesco Freund at Aug. 12, 2007 4:51 p.m.

Eben beim Kernel updaten habe ich festgestellt, dass grsecurity mit einem netten Feature nachgelegt hat. Die Trusted Path Execution (kurz TPE) wurde um die Option „Partially restrict non-root users“ erweitert. Damit dürfen normale User nur noch Dateien ausführen, die entweder in einem Verzeichnis liegen, das root gehört und auf dem nur root Schreibrechte hat (das war mit TPE bisher auch schon möglich), oder in einem Verzeichnis liegen, das dem User gehört und in dem nur der User Schreibrechte hat (das ist neu).

Die Hilfe in der Kernel-Konfiguration sagt dazu folgendes:

If you say Y here, All non-root users other than the ones in the group specified in the main TPE option will only be allowed to execute files in directories they own that are not group or world-writable, or in directories owned by root and writable only by root. If the sysctl option is enabled, a sysctl option with name „tpe_restrict_all“ is created.

Wenn man die Option jetzt noch mit der „Intert GID option“ zusammen einsetzt, dann dürfen User nur noch ausführen, was root für gut befunden hat. Und nur besonders brave User bekommen in Ausnahmefällen die Erlaubnis, Dateien in ihrem Home-Verzeichnis auszuführen. Wer sich daneben benimmt, ist diese Berechtigung natürlich schneller los, als er/sie sich umgucken kann – lart(1) vom allerfeinsten!

No comments | Defined tags for this entry: Gentoo, lart, Linux, security

Comments

No comments