<div dir="ltr">On 7 March 2013 17:37, zGreenfelder <span dir="ltr"><<a href="mailto:zgreenfelder@gmail.com" target="_blank">zgreenfelder@gmail.com</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><span style="color:rgb(34,34,34)">it's a common notion,</span></div></div></blockquote>

<div><br></div><div style>Really?  I've been in Win/UNIX/Internet security for 20 years, used various scanners, applied many security policies, worked with lots of security experts, been on several security courses, yada yada.  I don't recall ever having seen this (a non-suid, world-executable binary) being checked by a scanner, or forbidden by policy.  I'm only a single data point, but I'd be really surprised if this was "common" in the general UNIX security community.  Perhaps I've been isolated from sites governed by dumb-ass managers.  If that's the case, I don't like solutions purely to satisfy dumb-ass managers.</div>

<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><span style="color:rgb(34,34,34)">you can also argue that it's part of a 'least possible permissions'</span><br>

</div></div>
sort of thing where only the users/groups that _Need_ to run the<br>
programs/scripts have perms to do it, reducing the potential exposure<br>
if a security flaw is uncovered at some point in the future.<br></blockquote><div><br></div><div style>In most realistic scenarios, restricting access to a binary doesn't prevent its execution.  Someone simply copies it from elsewhere.  If you can get a login shell on a box, you can generally create any binary you want, and use chmod to make it executable.  In this specific case, I don't even need the Xymon binaries to be installed to send bogus reports to the server, if I have a login on the client.  So what's the point?</div>

<div style><br></div><div style>The 'least possible permissions' policy is to be applauded in general, but if it generates policy or procedures that don't actually restrict the bad actors while making things difficult for the good actors, then it's being implemented without using a threat model.  Being able to manually run xymoncfg, for example, to diagnose a problem or misconfiguration is helpful to a sysadmin.  Preventing this makes things harder for a sysadmin, but doesn't actually stop him, or the bad guys.</div>

<div style><br></div><div style>I really can't see any practical benefit in altering the permissions of these files, yet I can see it being a hindrance in some situations.</div><div style><br></div><div style>J</div>
<div style>
<br></div></div></div></div>