Права доступа и безопасность
Posted: Thu Mar 15, 2018 11:51 am
Здравствуйте!
Xeoma Standard на Debian.
Всплеск имоциев.
Сильно смущает работа Xeoma с т. з. безопасности.
Серверная часть работает от root.
Человек, имеющий доступ к настройкам камер в программе, автоматом получает root доступ ко всему серверу через модуль "Запуска приложений".
В логи пишутся строки подключения к камерам, включающие открытым текстом логин и пароль к камерам.
Папка /usr/local/Xeoma и Logs имеет права доступа 777 и программа автоматом сбрасывает их на 777, если вручную установлены другие.
Пароль управления любой может узнать через xeoma -showpassword.
Т. е. любой даже самый несчастный непривилегированный пользователь на сервере или демон (пусть даже взломанный) может легко узнать пароль к админке Xeoma и порушить весь сервер, не ограничиваясь видеонаблюдением.
Все это безобразие конечно настраивается/огораживается/понижаются права и т. д., но почему нужно воевать с системой, которая так или иначе следит за безопасностью, чтобы она сама не стала источником опасности?
В поведении по-умолчанию - проблемы с безопасностью, а в настроенном окружении - головная боль с обновлениями (если вообще возможны), ибо все возвращается обратно.
Есть ли надежда на исправление поведения по-умолчанию и удобную работу с программой?
Xeoma Standard на Debian.
Всплеск имоциев.
Сильно смущает работа Xeoma с т. з. безопасности.
Серверная часть работает от root.
Человек, имеющий доступ к настройкам камер в программе, автоматом получает root доступ ко всему серверу через модуль "Запуска приложений".
В логи пишутся строки подключения к камерам, включающие открытым текстом логин и пароль к камерам.
Папка /usr/local/Xeoma и Logs имеет права доступа 777 и программа автоматом сбрасывает их на 777, если вручную установлены другие.
Пароль управления любой может узнать через xeoma -showpassword.
Т. е. любой даже самый несчастный непривилегированный пользователь на сервере или демон (пусть даже взломанный) может легко узнать пароль к админке Xeoma и порушить весь сервер, не ограничиваясь видеонаблюдением.
Все это безобразие конечно настраивается/огораживается/понижаются права и т. д., но почему нужно воевать с системой, которая так или иначе следит за безопасностью, чтобы она сама не стала источником опасности?
В поведении по-умолчанию - проблемы с безопасностью, а в настроенном окружении - головная боль с обновлениями (если вообще возможны), ибо все возвращается обратно.
Есть ли надежда на исправление поведения по-умолчанию и удобную работу с программой?