Bezpecnost SSH

[Mirek Petricek]

On Mon, Oct 07, 2002 at 02:13:17AM -0700, Zdenek Mazanec wrote:
> > 3.1 nema privsep, to je na tom spatne (leda by ho tam nekdo zpetne
> > dolepil, o cemz si myslim, ze lze uspesne pochybovat). To znamena, ze
> > pristi nalezena dira povede opet rovnou na roota.
> 
> 
> Stejne tak lze s uspechem pochybovat o tom, ze v ssh s privsep _nemuze_ byt
> dira vedouci na roota. Pokud si spravne pamatuju, tak provsep byl v podstate
> workarround na okamzite zalepeni diry. Osobne v tom nevidim zadnou spasu,
> muzu se ovsem mylit.

IMHO privsep byl do OpenSSH přidán nezávisle na té díře a byl doporučen
jak rychlý hotfix než bylo možné zveřejněnit plný popis té chyby.

Myslím si, že provozování programů s minimální nezbytnou úrovní práv 
je správný krok a proto zavedení privsep, chrootovaných prostředí a
jakýchkoliv dalších úprav posilujících bezpečnost vítám. Vzpomeňme 
třeba na díry v bindu, když ještě bežel pod rootem, Sendmailu, httpd,
apod.

-- 
/*     Miroslav Petricek            mirek na petricek.cz
       UNIS COMPUTERS, spol. s r.o. mpetricek na uniscomp.cz
---- http://www.petricek.cz/ ------ ICQ: 56183467  -------
   The instructions said: "Windows 2000 or better",
       so I installed Linux.                                       */