[FUG-BR] [OT] Samba 0day

Luiz Gustavo S. Costa luizgustavo em luizgustavo.pro.br
Domingo Fevereiro 7 10:20:23 BRST 2010 

pelo o que estou entendendo, nao foi um furo de seguranca ou um bug,
mas uma opcao que vem setada como YES por default que deixa o sistema
menos seguro.

Fazendo uma analogia, seria algo assim:

"Voce prefere o trinco da sua porta pra fora ou pra dentro de casa ?
... por padrao, deixamos a entrada da chave do trinco pra fora para
facilitar o acesso, se fizermos ao contrario, necessitaremos fazer um
furo na porta (problema estetico) para que voce possa ter acesso ao
trinco."

Entao fica como opcao, priva-se a seguranca em prol da performance (ou
estetica na analogia).

enfim....

Ambiente e' ambiente.....

Em 7 de fevereiro de 2010 00:49, Celso Viana <celso.vianna em gmail.com> escreveu:
> Em 6 de fevereiro de 2010 17:49, Vinicius Abrahao
> <vinnix.bsd em gmail.com> escreveu:
>> Ele cria um link simbólico apontando pra "../../../../../../../../"
>> e o samba aceita (uma vez que a validação é feita parte no cliente
>> (arquitetura feia)
>> e parte no server. Aí sim, ele consegue copiar o arquivo que quiser.
>>
>> Bom, pelo menos até aonde consegui assistir (ou o que eu consegui entender).
>> O pessoal da lista do samba, recomenda fortemente que se coloque
>> "wide links = no"[1] na configuração global do samba para mitigar o problema.
>> E também disseram que vão mudar a opção default desse parametro (hoje é yes).
>>
>>
>> [1] do $ man smb.conf
>>       wide links (S)
>>
>>           This parameter controls whether or not links in the UNIX file
>>           system may be followed by the server. Links that point to areas
>>           within the directory tree exported by the server are always
>>           allowed; this parameter controls access only to areas that are
>>           outside the directory tree being exported.
>>
>>           Note that setting this parameter can have a negative effect on your
>>           server performance due to the extra system calls that Samba has to
>>           do in order to perform the link checks.
>>
>>           Default: wide links = yes
>>
>>
>>
>> Por favor, me corrijam se estiver errado.
>>
>> []s
>> Vinicius
>
> Parte de artigo sobre SaMBa no clube do hardware...
>
> follow symlinks
> Permite o uso de links simbólicos no compartilhamento (veja também a
> opção wide links). A desativação desta opção diminui um pouco a
> performance de acesso aos arquivos. Como é restrita a
> compartilhamento, o impacto de segurança depende dos dados sendo
> compartilhados. O valor padrão desta opção é "YES".
>
> Ex: follow symlinks = yes
>
> wide links
> Permite apontar para links simbólicos para fora do compartilhamento
> exportada pelo SAMBA. O valor padrão esta opção é "YES".
>
> Ex: wide links = yes.
>
> OBS: - A desativação desta opção causa um aumento na performance do
> servidor SAMBA, evitando a chamada de funções do sistema para resolver
> os links. Entretanto, diminui a segurança do seu servidor, pois
> facilita a ocorrência de ataques usando links simbólicos.
>
> Lembre-se mais uma vez que a segurança do seu sistema começa pela
> política e uma instalação bem configurada, isso já implica desde a
> escolha de sua distribuição até o conhecimento de permissões e
> planejamento na implantação do servidor de arquivos.
>
> "...aumenta a performance, mas diminui a seguranca..."; eh isso mesmo?
>
> --
> Celso Vianna
> BSD User: 51318
> http://www.bsdcounter.org
>
> 63 8404-8559
> Palmas/TO
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: contato em mundounix.com.br
Blog: http://www.luizgustavo.pro.br

Mais detalhes sobre a lista de discussão freebsd