© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Bernd Walter wrote:
> Oliver Fromme wrote:
> > Peter Ross wrote:
> > > ich habe mich gerade durch den Security Advice
> > > http://security.freebsd.org/advisories/FreeBSD-SA-08:08.nmount.asc
> > > gelesen.
> > > [...]
> > > Klar, soweit.
> > >
> > > Trotzdem, es kann sehr nützlich sein, für ein Desktopsystem z.B.,
> > > unpriviligierte Mounts z.B. von USB-Devices möglich zu machen.
> > >
> > > Wenn ich die Optionen in /etc/fstab vordefiniere, kann keiner mit den
> > > Optionen rumspielen.
> > >
> > > Wäre es sinnvoll und machbar, einen solchen Sicherheitslevel "zwischen
> > > vfs.usermount=0 und vfs.usermount=1" zu implementieren?
> >
> > Es wäre schwierig, weil der Kernel den Inhalt der Datei
> > /etc/fstab nicht kennt (und nicht kennen sollte!) und
> > daher nicht so ohne weiteres feststellen könnte, welche
> > Mount-Optionen aus /etc/fstab stammen und welche nicht.
> > Man könnte das evtl. irgendwie hinkriegen, aber es wäre
> > ein "dirty hack".
> >
> > Man kann sich in solchen Fällen auch damit behelfen, dass
> > man vfs.usermount auf 0 lässt und stattdessen ein Tool
> > wie "super" oder "sudo" verwendet. Damit kannst Du sehr
> > flexibel konfigurieren, unter welchen Umständen und mit
> > welchen Optionen ein normaler User ein Kommando (in diesem
> > Fall "mount") mit root-Rechten ausführen darf. Auf diese
> > Weise könntest Du den von Dir gewünschten Sicherheitslevel
> > implementieren.
>
> Per MAC sollte es möglich sein mount-Rechte nur bestimmten Usern
> oder Prozessen zuzuordnen.
> Dann muss man das Recht nicht pauschal vergeben.
Stimmt. MAC vergesse ich irgendwie immer. Darauf könnte
man natürlich aufsetzen, alternativ zu super oder sudo,
deren Zweck es ja auch ist, Rechte nicht pauschal zu ver-
geben.
> PRIV_VFS_MOUNT* sollte dafür verantwortlich sein.
> Ein eigenes Plugin mit einem passenden Regelwerk wird man aber wohl
> dafür bauen müssen.
Ja, zumal es in diesem Fall speziell darum ging, dass
der Benutzer keine Mount-Flags angeben können soll, die
von denen in /etc/fstab abweichen. Dafür gibt es bei
MAC nichts Fertiges; da müsste man schon ein wenig Code
absondern (aus den C-Drüsen an den Fingerkuppen). ;-)
Super/sudo wäre halt schon eine fertige Lösung.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M. Handelsregister: Registergericht Muenchen, HRA 74606, Geschäftsfuehrung: secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün- chen, HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart FreeBSD-Dienstleistungen, -Produkte und mehr: http://www.secnetix.de/bsd Python is executable pseudocode. Perl is executable line noise. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 10 Sep 2008 - 16:58:06 CEST