UID 0 a bohove [was Re: Wanted: konference o bezpecnosti Linuxu]

Úterý Březen 24 09:38:53 CET 1998

On Tue, 24 Mar 1998 bravenec na optimit.cz wrote:

> Databaze. Casto se o ni stara jiny clovek, nez o pocitac samotny (root). 
> Spravce databaze a spravce pocitace jsou dve rozdilne funkce. UNIX
> klidne umozni bez znalosti hesel (prikaz su) rootovi cmuchat treba ve
> vyplatach cele fabriky. Brrr.

Rekl bych, ze (aspon v principu) to neni umozneno bez znalosti rootova
hesla resp. drzeni jineho "autentizacniho tokenu" (jak se to ksakru
rekne cesky?). Je to totez, jako vlastnictvi klicu od firemniho trezoru
(kdo je ma, taky se v nem muze hrabat dle libosti).

Resenim jsou samozrejme technicka a organizacni opatreni zamezujici, aby
byl superuzivatel zneuzit: napriklad tak, aby cinnosti vykonavane s jeho
pravy musely byt kontrolovany jinou osobou (treba tak, ze spravce zna
jen pulku hesla a "kontrolor" druhou).

> Sifrovani? Ucinne mozna, kdyz vam pocitac nekdo cmajzne nebo vam pocitac
> zabavi policie - k vasim datum se dostanou pouze v pripade, ze hesla
> znaleho natahnou na skripec. 

Pokud je misto kradeni serveru neodposlechnou z obrazovky klientskeho
pisicka za pomoci lehce upraveneho televizniho prijimace. :)
(Nedelam si legraci. Tohle fakt lze provest.)

--Pavel Kankovsky aka Peak   [ Boycott Microsoft -- http://www.vcnet.com/bms ]