PUTTY
Milan Keršláger
milan.kerslager na pslib.cz
Úterý Leden 25 11:55:53 CET 2005
On Tue, Jan 25, 2005 at 10:24:10AM +0100, Simeth, David wrote:
>
> Proste a jednoduse snizujete bezpecnost systemu, sice jen o maly
> stupinek ale i ten se pocita, a takovych stupinku bude urcite vic.
> Jednou Vam masinu nekdo abori a vy se budete ptat jak je to
> mozny?????. Kdyz je nedostecne zabezpecen root jste nebezpecny pro
> sve uzivatele.
Jedine, cemu zabranite, je uhodnuti hesla, protoze jiny vyznam to nema.
Cili je to security by obscurity a jako takove to neprinasi nic (leda by
root byl lama a dal si heslo 'toor', 'admin' a podobne).
Pokud pomineme ty lamy, tak pohledem do ruznych security advisory
zjistite, ze vetsina problemu je zpusobena bud chybou v jadre,
pretecenim nebo neopatrnou manipulaci s docasnymi soubory. Zakazanim
prihlaseni na roota tak nedosahnete vubec niceho a predstava, ze tim
"zvysite" zabezpeceni systemu, je (bohuzel) mylna.
I kdyby by byla chyba v ssh (jako ze uz byla), zakazani prihlaseni roota
vam nepomuze. A to ani v pripade, ze na uzivatelove pocitaci sedi
trojsky kun, ktery odposlouchava hesla.
Pokud mate problem s vice adminy, neni potreba zrizovat zvlastni ucty -
staci zalozit vice ruznych uzivatelu s UID 0 a v logu uvidite, pod jakym
jmenem se dotycny prihlasil.
Pokud potrebujete jen omezenou mnozinu administratorskych opravneni, pak
ma sudo smysl. V tom pripade ovsem bychom meli zminit SELinux, pomoci
ktereho muzete pridelit (nebo odebrat) prakticky libovolna opravneni
libovolnemu uzivateli. Root jako takovy tak ztrati vysadni postaveni a
tim 'zakazani prihlaseni pro roota' prejde jeste vice do rise mytu (o
zvyseni bezpecnosti).
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/ke/
Další informace o konferenci Linux