PUTTY

Vasek Stodulka xvasek na gmail.com
Čtvrtek Leden 27 10:14:53 CET 2005


On Wed, 26 Jan 2005 15:12:25 +0000 (UTC), Matus UHLAR - fantomas <uhlar na fantomas.sk> wrote:

	Nechtel jsem se do teto diskuse zapojovat, ale neda uz mi to fakt
neda. Nejenom ze zakaz prihlasovani na roota neni bezpecnejsi, ale IMHO
je bezpecnostne lepsi spis _povolit_ prihlasovani roota pres ssh.

>  Ano, je tam veci viac: 
>  - login bezneho pouzivatela sa hada tazsie ako login roota.

	Pokud nekdo stavi bezpecnost na nezjistitelnosti jmena, tak to je
fakt super. Toho roota bych tam nechal prave proto, aby byla pravidla jasne
dana: Root je povoleny, tak si prece nikdo rozumny neda netrivialni heslo (a
vsichni spravci to vi).

	Mame postupne pripady:
1) root je povoleny a ma netrivialni heslo
2) root neni povoleny a ma netrivialni heslo
3) root je povoleny a ma trivialni heslo
4) root neni povoleny a ma trivialni heslo

	Z hlediska bezpecnosti se 1 =~ 2, (takze zakazovat roota je zbytecne
omezovani), 3 znamena prokazatelne neschopneho admina, na coz se da taky
reagovat, a 4 je nejhorsi: mame pocit falesneho sucha a bezpeci, ale pritom
si hyckame bezpecnostni diru, a to navic s dobrym pocitem!

>  - bezny pouzivatel vacsinou nema prava takze ak sa aj niekto dostane na
>    neho, nemusi sa este dostat na roota

	Jak se dostane na bezneho uzivatele? Uhodnutim hesla. Takze si
musite stejne hlidat netrivialni heslo pro roota (viz vyse) a jeste k tomu
netrivialni heslo pro uzivatele, aby ho utocnik nahodou nezacal hadat, coz
mu pujde vyrazne rychleji, nez pres ssh. Navic si muze udelat "echo alias
su=/tmp/.my_su_wrapper>>~/.bashrc" a cekat, az se prihlasim a udelam si su.
Takze to cele je naprd - jediny rozdil je v tom, ze utocnik ma misto jednoho
uctu dva.

>  - bezny pouzivatel sa niekedy na roota nemusi logovat ale moze mat
>    obmedzeny pocet prikazov spustitelnych pod sudo, takze za istych
>    okolnosti za na roota nemusi hlasit vobec

	OK, ale administrovat server pres sudo nejde.

>  - admin si nezvykne logovat sa kvoli kazdej hluposti na roota, ale je
>    nuteny pouzivat normalny pouzivatelsky login, cim neznizuje dalej
>    moznost urobenia chyby pod rootom.

	Nevybirat si postu pod uid 0 uz je spis o prirozene inteligenci.

-- 
Vašek Stodůlka
tel.: +420 608 200 860


Další informace o konferenci Linux