UID 0 a bohove [was Re: Wanted: konference o bezpecnosti Linuxu]
Zdenek Kabelac
kabi na fi.muni.cz
Středa Březen 25 20:20:06 CET 1998
bravenec na optimit.cz wrote:
>
> Zdenek Kabelac wrote:
>
>
> Zkuste ps -xa a kouknete, kolik procesu bezi s pravy roota. Ktery z
> techto
> procesu co dela? Jak to zjistite? Jak se ubranite diram typu
> rsh pocitac /bin/sh -i
mozna to nevite ale ono se toto vsechno da blokovat :-)
> Takto se do systemu neprihlasujete - last, who apod. vas neregistruje!
nechapu :-) jakou to ma souvislot - leda ze by jste mel who s flagem "s"
> Tohle je pouze jedna z moznosti, ktera me ted hned napadla a ktera by
zkuste dalsi :-) touto by jste neuspel.
BTW rsh mam davno blokovane - pouzivam pouze ssh :-)
> Druha namitka - pokud je nutna nejaka rootovska administrativa...
> ta je nutna i k zastaveni tiskarny :-(
> ..proste se musi databaze docasne uzavrit. Hmmm. Bez urazky, nejste
> spravce nekde ve skole? Tohle je nejvetsi rozdil v uvazovani, na ktery
jsem a to vadi :-)
Nevim proc bych mel uvazovat hur nez Vy :-)
> v rozhovorech s akademickymi pracovniky neustale narazim. Ja nemuzu
Jestli treba neni omezeni na jine strane :-)
> zastavit databazi, na ktere jsou prave tento moment rozpracovane
a kdo rika, ze root musi delat rootovske operace, kdyz mate
rozjete operace za miliony. - Roota potrebujete jen ke sprave systemu -
pokud mate system naistalovan a nic do nej nepridavate tak
by jste se mel bez roota obejit.
Tisky a jine podobne programy mohou bezet pres sudo apod.
BTW docela by me zajimalo jak treba instaluje do NT nejaky
ten service pack za chodu systemu a nechate pritom rozjete databaze
aspol. Byt uzivatelem jakehokoliv M$ produktu pripojeneho do Inetu
je take dost velka odvaha.
> milionove obchody. To bych si mohl hledat jinou praci.
Timto me docela urazite - tohle vsechno je mi samozrejme
jasne a proto o tom mluvim jako o hypoteticke moznosti jak se teoreticky
branit v otevrenem systemu napadeni root-a.
Pokud date do placu lepsi navrh nez naistalovat NT nebo zrusit volne
sireni zdrojaku linuxu ....
--
People are lied to who want to be lied at
Do you want to be lied at?
Zdenek Kabelac http://www.fi.muni.cz/~kabi/ kabi na fi.muni.cz
Další informace o konferenci Linux