MAC TrustedBSD - BSDextended FreeBSD 10 - problem z uprawnieniami dla nowej grupy.

[bryn1u 17]

Witam,

 

Mam taka regulke Mandatory Access Control - ugidfw dla userow. Jest to odpowiednik TPE linuxowy z grsec.

ugidfw add subject not uid root gid exec object ! gid 0:999 filesys /jails/Oksymoron type r mode arsw

Blokuje to mozliwosc wykonywania plikow binarnych stworzonych przez usera, ktorzy nie sa dodani do grupy exec.

Stworzylem katalog ventrilo w /usr/share/skel i chcialbym ograniczyc jego wykorzystanie. To znaczy, zeby mozna bylo tylko z niego korzystac jezeli user bedzie dodany do grupy ventrilo, wiec stworzylem ta grupe (na hoscie i w jailu gid tu i tu takie samo) i regulke.

pw groupadd -n ventrilo -g 1005

Regulka:

ugidfw add subject gid ventrilo object gid ventrilo filesys /jails/Oksymoron uid_of_subject type r mode axrws

Regulka ta pozwala (a przynajmniej chcialbym) na wykonywanie r - regular files czyli pliki binarne, zeby moc odpalic ./ventrilo_srv, ktore znajduje sie w katalogu usera i user musi byc wlascicielem tego pliku. Oczywiscie jest tez dodana grupa ventrilo na katalog ventrilo:

test2@Oksymoron.edu.pl:[Ventrilo]:$> ls -lo
total 494
-rw-r--r--  1 test2  ventrilo  uarch  14388 Jul 21 10:06 LICENSE
-rwxr-x---  1 test2  ventrilo  uarch 355260 Jul 21 10:06 ventrilo_srv*
-rw-r--r--  1 test2  ventrilo  uarch  47242 Jul 21 10:07 ventrilo_srv.htm
-rw-r-----  1 test2  ventrilo  uarch    312 Jul 21 10:06 ventrilo_srv.ini
-rwxr-x---  1 test2  ventrilo  uarch  39960 Jul 21 10:06 ventrilo_status*

Z tego co sie orientuje to jest zasada white'listowania, dlatego wydaje mi sie, ze ten wpis powinien dzialac:

ugidfw add subject not uid root gid 666 object ! gid 0:999 filesys /jails/Oksymoron type r mode arsw
ugidfw add subject gid ventrilo object gid ventrilo filesys /jails/Oksymoron uid_of_subject type r mode axrws

Niestety nie dziala, gdyz dalej mam

test2@Oksymoron.edu.pl:[Ventrilo]:$> ./ventrilo_srv
-su: ./ventrilo_srv: Permission denied

User jest dodany do grupy ventrilo i nie dziala. Jezeli dodam usera do grupy exec dziala bez problemu. Efektem koncowym chcialbym, zeby byl zakaz wykonywania z mozliwoscia wykonywania tego co jest w Ventrilo a dokladnie ventrilo_srv

Co tu jest skopane ? Bede mega wdzieczny,

Pozdrawiam,

 

Edytowano Lipiec 21, 2014 przez bryn1u (zobacz historię edycji)

[bryn1u 17]

Regułki w ugidfw są przeźroczyste. Wykonywanie regułek nie zatrzymuje się na pierwszej znalezionej. Dlatego pierwsza regułka zasłania drugą. Musisz popracować nad jedną, działającą regułką, bądź inaczej rozwiązać politykęw systemie.

 

Udalo mi sie zrobic to co zamierzalem. Powiedz mi o ile jest to mozliwe czy jest prostszy (czyt. krotszy) zapis tego co mnie sie udalo zmajstrowac ? Bo dzialac dziala.

subject not uid root gid exec object ! gid wheel:999 filesys /j/Oksymoron type r mode arsw
subject ! gid ventrilo object gid ventrilo filesys /j/Oksymoron type a mode rs
subject gid ventrilo object gid ventrilo filesys /j/Oksymoron type r mode rswx

Edytowano Lipiec 21, 2014 przez bryn1u (zobacz historię edycji)