Zapeklity problem - prava pro roota

[Pavel Korensky]

Pavel Kankovsky <peak na kerberos.troja.mff.cuni.cz> wrote:
> On Fri, 29 Nov 1996, Pavel Korensky wrote:
> 
> > Protoze ta masina v siti byt musi. Resp. v lokalni siti ne, ale musi byt
> > pripojena na Internet. V tom je podstata celeho toho problemu. Jedna se o
> > sluzbu, ktera bude verejne pristupna (po zaplaceni).
> 
> A neslo by to tak, ze bude navenek poskytovat pouze a vyhradne tuto
> sluzbu? (tj. zadny telnet, smtp, ftp..., login pouze z konzole) Dale
> minimum setuid programu (nebo nejlepe vubec zadne) a tu prislusnou sluzbu
> samozrejme bezet pod jinym uzivatelem nez rootem? Pripadne v kombinaci s
> vhodne konfigurovanym firewallem?
> 
> --Pavel Kankovsky aka Peak (troja.mff.cuni.cz network administration)
> 
> 

Ano, to by take bylo reseni. Nicmene zakladem cele sluzby bude WWW a to je IMHO
pomerne zranitelne. Firewall je take dobry napad, ten tam samozrejme bude.
Ten klic je tam mimo jine i proto, aby se dalo zabranit ziskani dat v pripade
fyzickeho utoku na server. Proste kdyz se sunda klic z portu, pristup k datum
bude zamezen. Pokud se klic znici (krajni eventualita), data budou jednou
provzdy zablokovana.


Zdravi PavelK


--
****************************************************************************
*                    Pavel Korensky (pavelk na dator3.anet.cz)                *
*     DATOR3 Ltd., Modranska 1895/17, 143 00 Prague 4, Czech Republic      *
*  PGP key fingerprint: 00 65 5A B3 70 20 F1 54  D3 B3 E4 3E F8 A3 5E 7C   *
****************************************************************************