/home/... vs. prava

Robert Vojta robert na v0jta.net
Pondělí Únor 23 13:32:52 CET 2004


Jan Houstek <houstek na utf.mff.cuni.cz> writes:

> > Muzete mi vysvetlit, co je na msecu jineho proti jinym periodicky
> > spoustenym uloham? Je to job jako kazdy jiny, stejne kritizovat by za
> > chvili sel i logrotate ci cokoliv jineho, co se spousti "samo".
> > Predpokladam, ze i na vasem systemu bezi cron nebo jeho ekvivalent.
> 
> U logrotate ma spousteni s nejakou periodou smysl. U nastroje, ktery si
> hraje na to, ze zajistuje nejakou bezpecnost, mate vzdy problem, ze tam je
> konecne dlouhy interval mezi vznikem diry a jejim zamaznutim.

  Záleží na úhlu pohledu. Já s si Mandrakem hraju teprve několik dní
a nemám pocit, že by si tento nástroj hrál na nějakou
bezpečnost (až na název Mandrake Security - odvozeno z msec). Z mého
pohledu jde o nástroj, který periodicky kontroluje mé změny v systému
a v případě, že se spletu či danou věc špatně nastavím, opraví to za
mě na nastavení, které si určím já (samozřejmě tam nějaké výchozí
hodnoty jsou, jako u všech programů).

  Je sice pravda, že by mohl poslat email nebo na provedené změny
upozornit jinak (*) než "pouhým" zápisem do logu (/var/log/messages).

  (*) Nastavil jsem si sice v draksec svůj účet (zkoušel jsem
i email), ale nikdy my nic nepřišlo ... To bude spíš tím, že to možná
"nemá souvislost" ... Ještě to musím hlouběji prozkoumat.

> Je sice asi fakt, ze to jisty smysl ma, ale pokud potrebuju neco vynutit,
> tak bych hledal koncepcnejsi reseni nez periodicky spoustet chmod.

  I z popisu balíčku je jasně vidět, že se nejedná o bůh ví jak skvělý
program na zajištění bezpečnosti, ale ...

The Mandrake-Security package is designed to provide generic
secure level to the Mandrake Linux users...
It will permit you to choose between level 0 to 5
for a less -> more secured distribution.
This packages includes several program that will be run periodically
                                            ^^^^^^^^^^^^^^^^^^^^^^^^        
in order to test the security of your system and alert you if needed.
         ^^^^^^^^^^^^^^^^^^^^

> Jako auditni nastroj verim, ze muze byt msec dobry, ale v pripade ze najde
> nejakou nesrovnalost, tak by mel nekde blikat nejaky cerveny majak. Jestli
> pritom bude provedeno nejake preventivni opatreni jako treba korekce tech
> prav je celkem jedno. V MDK je to ale docela nestastne nastavene tak, ze
> se skonci u korekce prav a je to povazovano za natolik beznou operaci, ze
> nestoji za to admina nejak otravovat.

  Je to v logu a pokud je to opravdu admin, tak tu hlášku v logu
samozřejmě najde.

> Na tom, ze tohle chovani MDK mi windoze silne pripomina trvam. Uz na to
> ale padlo napalmu dost, tak to klidne prestanu rikat, kdyz vas to tolik
> drazdi :-))

  Připomíná, nepřipomíná. Nevím, těžko po několika dnech soudit, ale
mě osobně se ta distribuce líbí (subjektivní dojem, neprozkoumal jsem
security issues, ...) a pokud si člověk přečtě příručku od QCM,
všechno se tam dozví a nějaký drakperm, msec ho nepřekvapí. Pokud si
ji nepřečte, tak se samozřejmě diví.

  A naposled, máme tu tolik distribucí, že pokud se někomu něco
nelíbí, ať si vybere jinou :)

-- 
Robert Vojta


Další informace o konferenci Linux