Bezpecnost SSH
Mirek Petricek
mirek na petricek.cz
Pondělí Říjen 7 11:13:09 CEST 2002
On Mon, Oct 07, 2002 at 02:13:17AM -0700, Zdenek Mazanec wrote:
> > 3.1 nema privsep, to je na tom spatne (leda by ho tam nekdo zpetne
> > dolepil, o cemz si myslim, ze lze uspesne pochybovat). To znamena, ze
> > pristi nalezena dira povede opet rovnou na roota.
>
>
> Stejne tak lze s uspechem pochybovat o tom, ze v ssh s privsep _nemuze_ byt
> dira vedouci na roota. Pokud si spravne pamatuju, tak provsep byl v podstate
> workarround na okamzite zalepeni diry. Osobne v tom nevidim zadnou spasu,
> muzu se ovsem mylit.
IMHO privsep byl do OpenSSH přidán nezávisle na té díře a byl doporučen
jak rychlý hotfix než bylo možné zveřejněnit plný popis té chyby.
Myslím si, že provozování programů s minimální nezbytnou úrovní práv
je správný krok a proto zavedení privsep, chrootovaných prostředí a
jakýchkoliv dalších úprav posilujících bezpečnost vítám. Vzpomeňme
třeba na díry v bindu, když ještě bežel pod rootem, Sendmailu, httpd,
apod.
--
/* Miroslav Petricek mirek na petricek.cz
UNIS COMPUTERS, spol. s r.o. mpetricek na uniscomp.cz
---- http://www.petricek.cz/ ------ ICQ: 56183467 -------
The instructions said: "Windows 2000 or better",
so I installed Linux. */
Další informace o konferenci Linux