Re: Usermounts

On Tue, Sep 09, 2008 at 09:18:05PM +0200, Oliver Fromme wrote:
> Peter Ross wrote:
> > ich habe mich gerade durch den Security Advice
> > http://security.freebsd.org/advisories/FreeBSD-SA-08:08.nmount.asc
> > gelesen.
> > [...]
> > Klar, soweit.
> >
> > Trotzdem, es kann sehr nützlich sein, für ein Desktopsystem z.B.,
> > unpriviligierte Mounts z.B. von USB-Devices möglich zu machen.
> >
> > Wenn ich die Optionen in /etc/fstab vordefiniere, kann keiner mit den
> > Optionen rumspielen.
> >
> > Wäre es sinnvoll und machbar, einen solchen Sicherheitslevel "zwischen
> > vfs.usermount=0 und vfs.usermount=1" zu implementieren?
>
> Es wäre schwierig, weil der Kernel den Inhalt der Datei
> /etc/fstab nicht kennt (und nicht kennen sollte!) und
> daher nicht so ohne weiteres feststellen könnte, welche
> Mount-Optionen aus /etc/fstab stammen und welche nicht.
> Man könnte das evtl. irgendwie hinkriegen, aber es wäre
> ein "dirty hack".
>
> Man kann sich in solchen Fällen auch damit behelfen, dass
> man vfs.usermount auf 0 lässt und stattdessen ein Tool
> wie "super" oder "sudo" verwendet. Damit kannst Du sehr
> flexibel konfigurieren, unter welchen Umständen und mit
> welchen Optionen ein normaler User ein Kommando (in diesem
> Fall "mount") mit root-Rechten ausführen darf. Auf diese
> Weise könntest Du den von Dir gewünschten Sicherheitslevel
> implementieren.

Per MAC sollte es möglich sein mount-Rechte nur bestimmten Usern
oder Prozessen zuzuordnen.
Dann muss man das Recht nicht pauschal vergeben.
PRIV_VFS_MOUNT* sollte dafür verantwortlich sein.
Ein eigenes Plugin mit einem passenden Regelwerk wird man aber wohl
dafür bauen müssen.

-- 
B.Walter <bernd@bwct.de> http://www.bwct.de
Modbus/TCP Ethernet I/O Baugruppen, ARM basierte FreeBSD Rechner uvm.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message