Zapeklity problem - prava pro roota
Pavel Machek
machek na atrey.karlin.mff.cuni.cz
Pátek Listopad 29 15:47:36 CET 1996
Pavel Korensky (pavelk na dator3.anet.cz) wrote:
: Pavel Kankovsky <peak na kerberos.troja.mff.cuni.cz> wrote:
: > On Fri, 29 Nov 1996, Pavel Korensky wrote:
: >
: > > Protoze ta masina v siti byt musi. Resp. v lokalni siti ne, ale musi byt
: > > pripojena na Internet. V tom je podstata celeho toho problemu. Jedna se o
: > > sluzbu, ktera bude verejne pristupna (po zaplaceni).
: >
: > A neslo by to tak, ze bude navenek poskytovat pouze a vyhradne tuto
: > sluzbu? (tj. zadny telnet, smtp, ftp..., login pouze z konzole) Dale
: > minimum setuid programu (nebo nejlepe vubec zadne) a tu prislusnou sluzbu
: > samozrejme bezet pod jinym uzivatelem nez rootem? Pripadne v kombinaci s
: > vhodne konfigurovanym firewallem?
:
: Ano, to by take bylo reseni. Nicmene zakladem cele sluzby bude WWW a to je IMHO
: pomerne zranitelne. Firewall je take dobry napad, ten tam samozrejme bude.
: Ten klic je tam mimo jine i proto, aby se dalo zabranit ziskani dat v pripade
: fyzickeho utoku na server. Proste kdyz se sunda klic z portu, pristup k datum
: bude zamezen. Pokud se klic znici (krajni eventualita), data budou jednou
: provzdy zablokovana.
Jeste k WWW: Zranitelne by byt moc nemelo - typycky bezi na uzivatele
'nobody' - coz by melostacit.
--
This is my little buggy signature... Pavel
Další informace o konferenci Linux