sslug-teknik team mailing list archive

Thread
Date

Re: bruger overtager fil ejet af root!!!

To: sslug-teknik@xxxxxxxx
From: Jon Svejgaard <jon@xxxxxx>
Date: Sun, 12 May 2002 11:23:31 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Organization: Ace
User-agent: Mozilla/5.0 (X11; U; Linux i586; en-US; rv:0.9.4.1) Gecko/20020314 Netscape6/6.2.2

Ask Holme wrote:

On 12 May 2002 10:08:11 +0200
Thorbjoern Ravn Andersen <thunderbear@xxxxxxxxxxx> wrote:

Ask Holme <ask@xxxxxxxxx> writes:

WTF?!?!?! hvordan i helvede kan et program der kører som ask
overtage ejerskabet af en "rooted" fil. Har det mon indbygget X
antal local exploits eller sådan noget ?!?!

Din skrivebeskyttelse ved at skifte til root, betyder kun noget for
_indholdet_ af den pågældende fil.  Det er rettighederne på selve
folderen som er afgørende for om du må slette den fil, og oprette en
ny.

Så er min permissions-viden gennem 18 år lige røget down the drain,Thorbjørn! :-)

Kører du en anden og mere virus-venlig distribution end min Slackware?

Kan jeg ikke "låse" en fil uden at skulle pille ved folderens
rettigheder ?

For nu ikke at være for skråsikker, testede jeg det lige. Det virker somjeg havde forventet: at en almindelig bruger kan IKKE ændre ejerskabeller permissions på en fil, der ejes af root, og som er read-only. Altså


-r--r--r-- 1 root root blabla


ejes af root på ALLE måder. Iøvrigt UANSET directory permissions.

---snip-------------

jon@bifrost:/u/jon$ ls -l status
-r--r--r--   1 root     root          420 Mar 27 17:22 status
jon@bifrost:/u/jon$ chown jon status
chown: status: Operation not permitted
jon@bifrost:/u/jon$ chmod 666 status
chmod: status: Operation not permitted

jon@bifrost:/u/jon$ ls -l status
-r--r--r--   1 root     root          420 Mar 27 17:22 status

---snip-------------


Så "noget" må have ændret filen, måske i forbindelse med kørsel af Sylpheed.

Lidt at kigge efter:

Er der setuid bit på ....bin/sylpheed? Og hvem er ejeren?
Er permissions/ejerskab på directoriet, hvor filen ligger, ændret?
Ligger filen i $HOME/syl/... ?
Noget i crontab som falder sammen med tidspunktet for kørsel af sylpheed?
Noget særligt foretaget under sylpheed-kørslen?
Kan du gøre det igen?

MVH
--
Jon Svejgaard
====================================================================
                               | ACE - UNIX/Linux Consultancy
                               | Hjorthøjvej 2 / DK-4291 Ruds Vedby
mail: jon@xxxxxx               | DENMARK
http://www.ace.dk              | +45 5826 1799 / +45 4052 0799
====================================================================

Follow ups

Re: bruger overtager fil ejet af root!!!
From: Thorbjoern Ravn Andersen, 2002-05-12
Re: bruger overtager fil ejet af root!!!
From: Thorbjoern Ravn Andersen, 2002-05-12
Re: bruger overtager fil ejet af root!!!
From: Jesper Krogh, 2002-05-12
Re: bruger overtager fil ejet af root!!!
From: Ask Holme, 2002-05-12

References

bruger overtager fil ejet af root!!!
From: Ask Holme, 2002-05-12
Re: bruger overtager fil ejet af root!!!
From: Thorbjoern Ravn Andersen, 2002-05-12
Re: bruger overtager fil ejet af root!!!
From: Ask Holme, 2002-05-12