PUTTY
Vasek Stodulka
xvasek na gmail.com
Čtvrtek Leden 27 14:49:28 CET 2005
On Thu, 27 Jan 2005 10:26:37 +0000 (UTC), Matus UHLAR - fantomas <uhlar na fantomas.sk> wrote:
> >> - bezny pouzivatel vacsinou nema prava takze ak sa aj niekto dostane na
> >> neho, nemusi sa este dostat na roota
> >
> > Jak se dostane na bezneho uzivatele? Uhodnutim hesla.
>
> to nestaci, treba odhadnut username na ktore sa treba logovat, co pri
> nahodnom pocitaci moze byt netrivialne.
Pri dostatecne kvalitnim hesle roota je to uplne jedno, ale to uz
tady nekdo psal.
> > Takze si musite stejne hlidat netrivialni heslo pro roota (viz vyse) a
> > jeste k tomu netrivialni heslo pro uzivatele, aby ho utocnik nahodou
> > nezacal hadat, coz mu pujde vyrazne rychleji, nez pres ssh. Navic si
> > muze udelat "echo alias su=/tmp/.my_su_wrapper>>~/.bashrc" a cekat, az
> > se prihlasim a udelam si su. Takze to cele je naprd - jediny rozdil je v
> > tom, ze utocnik ma misto jednoho uctu dva.
>
> - a ze pouzivate bash a nie tcsh.
>
> - a ze nie ste zvyknuti volat /su miesto su, ako som zvyknuty napriklad
> nejakych ~10 rokov ja. (/su je linka na /bin/su)
less /etc/passwd (zjistim si shell)
echo alias '/su=/tmp/.my_su_wrapper' >> ~/.bashrc
echo alias '/su' /tmp/my_su_wrapper >> ~/.tcshrc
Ano, dostatecne exotickym chovanim a nastavenim zajistite, ze script
kiddies nektere scipty neprojdou, ale je potreba uvedomit si, proti komu
vlastne ten pocitac zabezpecujete. Z vaseho uzivatelskeho uctu (ve kterem
mate treba spustene scripty v public_html, poustite z nej prohlizec, mail
klienta!) se inteligentni utocnik plynule dostane na rootovu uroven. Pokud
nebudete pouzivat su a budete se prihlasovat primo, tak se Vam to nestane
prave proto, ze nemichate rootuv ucet s vasim vlastnim, at uz pres sudo,
nebo pres su.
> - a ze casto pouzivate su (a nie sudo, pri ktorom zadavate svoje heslo)
Pouzivat sudo misto prihlasovani se na roota je taky dvojsecna
zbran. Necemu to urcite pomuze a nelze nez nedoporucit to, ale jakmile
umozni sudo pristup k necemu, co ma jako parameter neco na zpusob -exec,
tak uz mate zase rooty prakticky dva. (!!!)
> >> - admin si nezvykne logovat sa kvoli kazdej hluposti na roota, ale je
> >> nuteny pouzivat normalny pouzivatelsky login, cim neznizuje dalej
> >> moznost urobenia chyby pod rootom.
> >
> > Nevybirat si postu pod uid 0 uz je spis o prirozene inteligenci.
>
> kto hovori o poste? ja hovorim o vsetko na co staci bezny pouzivatel.
> ak je niekto tupec, nepomoze mu nic a v tomto pripade je diskutovat o
> bezpecnosti irelevantne.
Toto je samozrejme naprosta pravda.
Pekny den.
--
Vašek Stodůlka
tel.: +420 608 200 860
Další informace o konferenci Linux