PUTTY

[Milan Keršláger]

On Tue, Jan 25, 2005 at 10:24:10AM +0100, Simeth, David wrote:
> 
> Proste a jednoduse snizujete bezpecnost systemu, sice jen o maly
> stupinek ale i ten se pocita, a takovych stupinku bude urcite vic.
> Jednou Vam masinu nekdo abori a vy se budete ptat jak je to
> mozny?????.  Kdyz je nedostecne zabezpecen root jste nebezpecny pro
> sve uzivatele.

Jedine, cemu zabranite, je uhodnuti hesla, protoze jiny vyznam to nema.
Cili je to security by obscurity a jako takove to neprinasi nic (leda by
root byl lama a dal si heslo 'toor', 'admin' a podobne).

Pokud pomineme ty lamy, tak pohledem do ruznych security advisory
zjistite, ze vetsina problemu je zpusobena bud chybou v jadre,
pretecenim nebo neopatrnou manipulaci s docasnymi soubory. Zakazanim
prihlaseni na roota tak nedosahnete vubec niceho a predstava, ze tim
"zvysite" zabezpeceni systemu, je (bohuzel) mylna.

I kdyby by byla chyba v ssh (jako ze uz byla), zakazani prihlaseni roota
vam nepomuze. A to ani v pripade, ze na uzivatelove pocitaci sedi
trojsky kun, ktery odposlouchava hesla.

Pokud mate problem s vice adminy, neni potreba zrizovat zvlastni ucty -
staci zalozit vice ruznych uzivatelu s UID 0 a v logu uvidite, pod jakym
jmenem se dotycny prihlasil.

Pokud potrebujete jen omezenou mnozinu administratorskych opravneni, pak
ma sudo smysl. V tom pripade ovsem bychom meli zminit SELinux, pomoci
ktereho muzete pridelit (nebo odebrat) prakticky libovolna opravneni
libovolnemu uzivateli. Root jako takovy tak ztrati vysadni postaveni a
tim 'zakazani prihlaseni pro roota' prejde jeste vice do rise mytu (o
zvyseni bezpecnosti).

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/ke/