Прозрачная торификация рута
Программы управления пакетами в никсах, портами -в БСД, работают от рута. Всякого рода iptables -L -v и tcpdump запускаются от рута (да,да, я знаю про опцию -n, но иногда хочется посмотреть названия хостов – они бывают более информативными чтоли), многие опции nmap работают только от рута и т.д. и т.п.
В связи с этим возникает вопрос, а что будет, если в правилах прозрачной торификации прописать юзера с UID==0 ?
Естественно, никто от рута не собирается ходить в сеть через браузер, отправлять почту и т.п. Но вышесказанного достаточно, чтобы задуматься над этим вопросом.
Могут ли быть в этом случае какие-либо побочные проблемы с функционированием системы?!
И еще такой вопрос, раз уж речь зашла про nmap. А зачем многие его опции работают от рута, как это способствует безопасности? Типа чтобы браузерный эксплойт не мог его запустить? И стоит ли снизить эти привилегии, или решать вопрос торификацией рута (если это не вызывает побочных проблем)?
Давеча сидел в огороженном всеми средствами и заторенном юзере. Никто не должен был из-под этого юзера ходить в интернет, никогда, кроме руками запускаемого TorBrowser, в котором прописаны верные настройки сети. Сижу спокойно, уже долго читаю постороннюю страницу в одной из вкладок, как вдруг передо мной внезапно всплывает окно какого-то музыкального (или даже видео) проигрывателя в gnome. У меня отвисает челюсть (первый раз вижу такое), мысли в голове путаются, но, зная что подстраховки есть, слежу за тем, что будет дальше. Он, значит, запустился, и сразу же полез в интернет, какой-то ubuntu store или что там... не помню деталей. Как мне показалось, это как-то связано с не очень давно введёной фичей подгрузки песен, текстов или даже самой музыки из каких-то централизованных харнилищ. Ума, правда, вылезти в интернет у него не хватило (нужно было к прокси подцепиться, а он настройки из TorBrowser не распознал), потому просто пожаловался на отсутствие сети, и шоу закончилось. Я сдуру забыл сделать скриншот перед закрытием окна, но дамп процессов ps aux на всякий пожарный сохранил. А теперь представьте себе, что внешнего Tor-рутера не было б, что не было б контроля на уровне firewall. Сразу сухари сушить или кирпичи откладывать? Невольно вспоминается: Ладно, если кое-где собирают информацию об имеющихся уязвимостях в браузере, а если там коллекционируют 0day на ядра Linux, загружая их на подставные сайты?
Одна из проблем модных решений — написать так, чтобы работало у всех и при всех конфигурациях, иначе замучишься искать проблему (у кого и почему не работает). Намного лучше, когда пользователь знает, что делает и продуманно составляет правила сам под себя. Иногда оказывается, что чего-то не хватает, что-то не работает и т.д. Я бы не сказал, что отладка правил файерволла — непростая вещь, даже для опытного UNIX-юзера. Самый правильный способ (и самый требовательный к квалификации настраивающего), на мой взнгляд, таков:
Так проще всего анализировать безопасность правил.
*Например, в pf когда-то была дыра, работающая, только если не был указан список конкретных протоколов. У меня он предусмотрительно был указан (tcp,udp,icmp), на всякий случай, потому система оказалась неуязвимой.
Прошёл всего один год, и пророчество сбылось.
комментариев: 11558 документов: 1036 редакций: 4118
прошёлсостоялся только один. Хотя кого-то могли взять на карандаш, да, но это уже спекуляции.