Beginner: Bezpecnost, NFS na HP UX

[Michal Vymazal]

gevalim na centrum.cz wrote:

> Dobry den;
> 
> Jako kazdy zacatecnicky dotaz se nejprve vymlouvam na chabe 
> znalosti tematu a nenalezeni potrebne odpovedi v archivu, howtos, 
> atd. Zaroven netvrdim, ze jsem nehledal spatne, takze me treba 
> jenom, jako obvykle, nakopnete...
> 
> Problem je nasledujici - ve firme, jejiz jmeno radeji ani nebudu 
> uvadet, se pokousime prosadit pro vyvojare Linux boxy misto PC s 
> NT. Sprava Linux boxu bude v zodpovednosti kazdeho jednotlivce, 
> nikoliv centralni spravy. V soucasnosti z NT a v budoucnu snad z 
> Linuxu se stanice pripojuji pres NFS k datum na serverech bezicim 
> pod HP UX 10.20 a 11.00.
> 
> Jedna z namitek administratora, kterou nedovedu posoudit/vyresit 
> je nasledujici: zlobivy vyvojar si vytvori na linux usera s id 
> rovnym id jineho uzivatele na nekterem ze serveru, a budu se moc 
> tvarit jako on - falsovat soubory a jinak skodit.
> 
> Je tato namitka opravnena, a da se s ni neco provest, za 
> podminky, ze uzivatelum stanic zustane znamo root heslo?
> 
> Prosim o shovivavost a dekuji za pomoc.

Tento problem je platform independent a je spise principielniho razu. 
Proste, pokud "zlobivy" user nebude mit na cilovem stroji dostatecna 
prava na to, aby si vytvoril ucet s id totoznym nejakeho uzivatele, tak 
to jednoduse a proste neudela. Pokud musite ponechat id root uzivateli, 
prebira zaroven i zodpovednost za to, ze si stroj ohlida sam. Dejte 
uzivatelum na vyber:
1) Budes mit id root a svuj stroj si budes administrovat sam (vcetne 
podpisu v provoznim radu).
2) Nebudes mit id root, budes mit jineho uzivatele a stroj bude na dalku 
administrovat profesionalni spravce.

Praxe obvykle hovori pro kombinaci bodu 1 a 2. Vzdy to vsak zohlednete v 
provoznich radech, aby pak zadna ze zucastnenych stran nemela argument 
typu "nevedel jsem, ze".

-- 
Michal Vymazal
gandalf na mbox.vol.cz
Michal.Vymazal na deltax.cz
Office computer