Zniceni Boha :-) [was Re: Utajena modifikace souboru]

Michal Weinfurtner weinfurt na securities.cz
Pátek Leden 7 10:15:15 CET 2000 

> Možná by se dalo udělat několik polobohů, dejme tomu useradmin,
> appadmin, auditor (správa logů). (to střílím od pasu, asi by bylo
> nutné mít nějaké další, když by se to promyslelo.) Práva k vybraným
> souborům na disku vhodně přidělit těmto uživatelům, suid z roota
> přeházet na tyto uživatele, ... uvést to do stavu, aby to
> fungovalo a bylo možné vykonávat běžné administrativní úkony.
>
> Takovýto stroj zabezpečit proti fyzickému přístupu. když bude
> potřeba provést neběžný úkon, rebootovat to na "normální UNIX"
> s rootem, udělat co je potřeba a pak přepnout zase do paranoidního
> runlevelu, připojit k síti, zamknout a klidně spát :)
>
> Upřesnění pojmu "běžné administrativní úkony" mění hranici, mezi tím,
> jak moc by se to muselo promyslet, a tím, jak často by se muselo
> rebootovat.
>
> Myslíte, že je to realizovatelné?

Pripada mi, ze nejakym podobnym smerem uvazovali vyvojari NT. Tam taky
existuje nekolik takovych polobohu, z nichz kazdy by mel mit prava na neco
jineho. Ale evidentne to nepromysleli ( jak pisete ze by se to muselo
promyslet ).Rekl bych, ze je to zbytecne rozdelovat ulohu roota na nekkolik
"polorootu". Jaky by to melo vyznam ? Mistio jednoho uzivatele mit nekolik
podobnych ? Pak by se UNIX takto nastaveny dostal do situace, kdy by bylo
treba rebootovat pokazde, kdyz se dostane nejaky proces do stavu k odstreleni
( nebo reinicializaci - napr. named, inetd a pod. ). Nebo by se to resilo jako
na NT, kde systemove procesy ma user system, ale neni jaksi mozne se na neho
prihlasit a tak neni ani mozne pracovat se systemovymi procesy.
Nekolikrat jsem se dostal prave na NT serveru s timto principem do problemu.

Root uzivatel by mel byt na systemu dobre strezen, jeho heslo by melo byt
casto meneno a mel by se pouzivat z konzole a jen k uloham udrzby systemu.
Toto je doufam dostatecne paranoidni pristup a jake koli ruseni root
uzivatele, by dle meho nazoru prineslo jeste vetsi komplikace nez jeho
existence.

Zdarvim
Michal



--

Michal Weinfurtner
Systems Administrator
Internet Securities, Prague
A Euromoney Institutional Investor Company
Vinohradska 37 , 120 00 Praha 2, Czech republic
Voice: (+420 2) 22 25 43 45; Fax: (+420 2) 22 25 43 44

http://www.securities.cz

Další informace o konferenci Linux