Zapeklity problem - prava pro roota
Pavel Korensky
pavelk na dator3.anet.cz
Pátek Listopad 29 14:40:49 CET 1996
Pavel Kankovsky <peak na kerberos.troja.mff.cuni.cz> wrote:
> On Fri, 29 Nov 1996, Pavel Korensky wrote:
>
> > Protoze ta masina v siti byt musi. Resp. v lokalni siti ne, ale musi byt
> > pripojena na Internet. V tom je podstata celeho toho problemu. Jedna se o
> > sluzbu, ktera bude verejne pristupna (po zaplaceni).
>
> A neslo by to tak, ze bude navenek poskytovat pouze a vyhradne tuto
> sluzbu? (tj. zadny telnet, smtp, ftp..., login pouze z konzole) Dale
> minimum setuid programu (nebo nejlepe vubec zadne) a tu prislusnou sluzbu
> samozrejme bezet pod jinym uzivatelem nez rootem? Pripadne v kombinaci s
> vhodne konfigurovanym firewallem?
>
> --Pavel Kankovsky aka Peak (troja.mff.cuni.cz network administration)
>
>
Ano, to by take bylo reseni. Nicmene zakladem cele sluzby bude WWW a to je IMHO
pomerne zranitelne. Firewall je take dobry napad, ten tam samozrejme bude.
Ten klic je tam mimo jine i proto, aby se dalo zabranit ziskani dat v pripade
fyzickeho utoku na server. Proste kdyz se sunda klic z portu, pristup k datum
bude zamezen. Pokud se klic znici (krajni eventualita), data budou jednou
provzdy zablokovana.
Zdravi PavelK
--
****************************************************************************
* Pavel Korensky (pavelk na dator3.anet.cz) *
* DATOR3 Ltd., Modranska 1895/17, 143 00 Prague 4, Czech Republic *
* PGP key fingerprint: 00 65 5A B3 70 20 F1 54 D3 B3 E4 3E F8 A3 5E 7C *
****************************************************************************
Další informace o konferenci Linux