[FreeBSD] ha mar security...

[Adam Szilveszter]

Hali!

Az NFS protokoll ezen "feature"-jei sajnos ismertek. IMHO Kb a "kockazatok es
mellekhatasok" kategoriaba tartoznak, hasonloan pl ahhoz, hogy nem lehet
megmondani azt, hogy processzenkent mas perm-el menjen az export ugyanazon 
kilens
fele, mert megint egy egyszeru csere a kliens oldalan es voa. Vagy mint
ahogy egy rossz idopontban megszakado kapcsolat az NFS szerverrel azt
jelentheti, hogy azt a mountot nem lehet leszedni! es ezert meg esetleg a
kliens shutdown is meghiusul mert nem sikerul umountolni a file-rendszerek
egy reszet. Vagy, hogy kedvezo korulmenyek kozott killelhetetlen processzek
maradnak a szerver oldalon... vagy, hogy... szoval van. Valami olyan
zorgest hallottam a multkor amikor eppen NFS tema volt a -current listan,
hogy allitolag az NFSv4 mar stateful protokoll lesz de errol tobbet nem
tudok.

Viszont bonusz pont, hogy az 5.0-s FreeBSD-n mar lesz normalis NFS lock
kliens es szerver oldalon is!:-) Wov.

Viszont ami kevesbe ismert es nem biztos, hogy poenos: Ha vannak olyan
file-ok, aminek a tulajdonosa nobody, es a web szerver is nobody alatt fut
es a root (egyeb intezkedes hijan) nobody-ba mappelodik az NFS mounton
keresztul es belep egy exploit a megfelelo helyen a web szerver ellen,
akkor az nem biztosan humoros... ezert nem tanacsos, hogy nobody bacsinak 
file-jai legyenek. (Meg azert se, mert a deface sokkal gyorsabban megy
kulonben:-)

Udv:
Sz.
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *