PUTTY

Matus UHLAR - fantomas uhlar na fantomas.sk
Čtvrtek Leden 27 11:26:37 CET 2005 

Vasek Stodulka <xvasek na gmail.com> wrote:
>        Nechtel jsem se do teto diskuse zapojovat, ale neda uz mi to fakt
> neda. Nejenom ze zakaz prihlasovani na roota neni bezpecnejsi, ale IMHO
> je bezpecnostne lepsi spis _povolit_ prihlasovani roota pres ssh.

>>  - bezny pouzivatel vacsinou nema prava takze ak sa aj niekto dostane na
>>    neho, nemusi sa este dostat na roota
> 
>        Jak se dostane na bezneho uzivatele? Uhodnutim hesla.

to nestaci, treba odhadnut username na ktore sa treba logovat, co pri
nahodnom pocitaci moze byt netrivialne.

> Takze si musite stejne hlidat netrivialni heslo pro roota (viz vyse) a
> jeste k tomu netrivialni heslo pro uzivatele, aby ho utocnik nahodou
> nezacal hadat, coz mu pujde vyrazne rychleji, nez pres ssh. Navic si
> muze udelat "echo alias su=/tmp/.my_su_wrapper>>~/.bashrc" a cekat, az
> se prihlasim a udelam si su. Takze to cele je naprd - jediny rozdil je v
> tom, ze utocnik ma misto jednoho uctu dva.

- a ze pouzivate bash a nie tcsh.

- a ze nie ste zvyknuti volat /su miesto su, ako som zvyknuty napriklad
  nejakych ~10 rokov ja. (/su je linka na /bin/su)

- a ze casto pouzivate su (a nie sudo, pri ktorom zadavate svoje heslo)

navyse ked ma utocnik rootovsky ucet, je uplne irelevantne ci ma okrem
neho nejaky pouzivatelsky, pricom naopak to neplati.

ked uz nic ine, hlasenie pri logine odkial ste sa hlasili naposledy moze
vselico napovedat. zatial co ked sa takto prihlasil root, uz je neskoro.

>>  - admin si nezvykne logovat sa kvoli kazdej hluposti na roota, ale je
>>    nuteny pouzivat normalny pouzivatelsky login, cim neznizuje dalej
>>    moznost urobenia chyby pod rootom.
> 
>        Nevybirat si postu pod uid 0 uz je spis o prirozene inteligenci.

kto hovori o poste? ja hovorim o vsetko na co staci bezny pouzivatel.
ak je niekto tupec, nepomoze mu nic a v tomto pripade je diskutovat o
bezpecnosti irelevantne.

a kedze je zname ze zvyk je zelezna kosela, je lepsie si zvyknut sa
logovat na bezneho pouzivatela ako na roota.

-- 
Matus UHLAR - fantomas, uhlar na fantomas.sk ; http://www.fantomas.sk/
Warning: I wish NOT to receive e-mail advertising to this address.
Varovanie: na tuto adresu chcem NEDOSTAVAT akukolvek reklamnu postu.
Atheism is a non-prophet organization.

Další informace o konferenci Linux