Problemă [editați]
Un număr de pachete de software pentru a pune în aplicare operarea cu scăderea privilegiu (separare privilegiu) cere utilizatorului fals (și de obicei - grupa corespunzătoare; valoare numerică - de la 1 la 499 de conformitate cu standardele acceptate).
Ideea de pre „scor“ toate pseudo-dreapta în / etc / passwd si / etc / direct de grup la crearea pachetului de instalare este obligat să intre în conflict cu nevoia neprevăzute, și probleme serioase cu integrarea schimbărilor - deoarece noile versiuni ale acestor fișiere vor fi instalate ca un .rpmnew *. și mijloacele automate de efectuare a modificărilor nu sunt incluse.
Se pare combinație rezonabilă a acestor abordări: menținerea unei liste de UID înregistrate / GID și punerea în aplicare adăugând „la cerere“, dar cu valori fixe. Acest lucru necesită scriere (pentru a rezuma disponibile) macro-uri pentru verificarea coliziunilor (prezența unui utilizator cu „greșit» uid / gid ca sympa ;. Existența «utilizator real» cu uid / gid> = 500).
Pentru a reduce densitatea acestor coliziuni, se sugerează să se acorde prioritate denumirilor formularului "_name" pentru utilizatorii și grupurile "sistem".
Esența politicii [edit]
- Dacă programul pentru activitatea sa nu necesită drepturi de rădăcină. ar trebui să acționeze în numele unui pseudo-utilizator defavorizat.
- În acest caz, ar trebui să fie difuzate diferite programe în numele unor pseudo-utilizatori individuali, în cazurile în care programele nu sunt legate în vreun fel între ele, și anume:
- sistem de fișiere (fișiere partajate sau directoare pentru IPC)
- SYSVIPC
- semnale trimise la procese
- în mod generic, la ce se aplică permisiunile unix
Exemplu de stabilire de pseudo-utilizatori [edit]
Drepturi de director [edita]
În cazul aplicațiilor de ambalare, trebuie acordată atenția cuvenită drepturilor de acces care sunt setate pe fișierele și directoarele care aparțin acestei aplicații. Mai multe detalii despre acest lucru pot fi găsite în Politica ALT Linux Secure Packaging.
- Dacă în director este scris un singur pseudo-utilizator, atunci 0770 root: _pseudouser_group
- Dacă directorul este scris nu numai de un pseudo-utilizator, atunci dacă nu au fișiere comune pentru scriere, atunci 3770, altfel 2770.
- Dacă pseudo-utilizatorii citesc numai din director, atunci 0750.
- Dacă pseudo-utilizatorii deschid numai fișiere din director, atunci 0710
Ștergerea unui utilizator [editați]
Nu ștergeți pseudo-utilizatorii.
Printr-o anumită ordine de execuție a script-uri în pachete rpm prescris în% postun pachete userdel actualizarea după îndeplinește% post (cu orice useradd dorit) din pachetul actualizat. Rezultatul este absența utilizatorului după instalarea pachetului. Deci, să nu șterse mai bine ... în același timp, pentru a rezolva probleme cu drepturile de „plutitoare“, în lipsa unei politici pentru UID / GID de stabilire dinamic a crea utilizatori și grupuri.
Rezolvați situația dacă pseudo userul a fost eliminat [edit]
De exemplu, webalizer.spec versiunea 2.01.10-alt3: