PUTTY

Vasek Stodulka xvasek na gmail.com
Čtvrtek Leden 27 14:49:28 CET 2005 

On Thu, 27 Jan 2005 10:26:37 +0000 (UTC), Matus UHLAR - fantomas <uhlar na fantomas.sk> wrote:

> >>  - bezny pouzivatel vacsinou nema prava takze ak sa aj niekto dostane na
> >>    neho, nemusi sa este dostat na roota
> > 
> >        Jak se dostane na bezneho uzivatele? Uhodnutim hesla.
> 
>  to nestaci, treba odhadnut username na ktore sa treba logovat, co pri
>  nahodnom pocitaci moze byt netrivialne.

	Pri dostatecne kvalitnim hesle roota je to uplne jedno, ale to uz
tady nekdo psal.

> > Takze si musite stejne hlidat netrivialni heslo pro roota (viz vyse) a
> > jeste k tomu netrivialni heslo pro uzivatele, aby ho utocnik nahodou
> > nezacal hadat, coz mu pujde vyrazne rychleji, nez pres ssh. Navic si
> > muze udelat "echo alias su=/tmp/.my_su_wrapper>>~/.bashrc" a cekat, az
> > se prihlasim a udelam si su. Takze to cele je naprd - jediny rozdil je v
> > tom, ze utocnik ma misto jednoho uctu dva.
> 
>  - a ze pouzivate bash a nie tcsh.
> 
>  - a ze nie ste zvyknuti volat /su miesto su, ako som zvyknuty napriklad
>    nejakych ~10 rokov ja. (/su je linka na /bin/su)

	less /etc/passwd (zjistim si shell)
	echo alias '/su=/tmp/.my_su_wrapper' >> ~/.bashrc
	echo alias '/su' /tmp/my_su_wrapper >> ~/.tcshrc

	Ano, dostatecne exotickym chovanim a nastavenim zajistite, ze script
kiddies nektere scipty neprojdou, ale je potreba uvedomit si, proti komu
vlastne ten pocitac zabezpecujete. Z vaseho uzivatelskeho uctu (ve kterem
mate treba spustene scripty v public_html, poustite z nej prohlizec, mail
klienta!) se inteligentni utocnik plynule dostane na rootovu uroven. Pokud
nebudete pouzivat su a budete se prihlasovat primo, tak se Vam to nestane
prave proto, ze nemichate rootuv ucet s vasim vlastnim, at uz pres sudo,
nebo pres su.

>  - a ze casto pouzivate su (a nie sudo, pri ktorom zadavate svoje heslo)

	Pouzivat sudo misto prihlasovani se na roota je taky dvojsecna
zbran. Necemu to urcite pomuze a nelze nez nedoporucit to, ale jakmile
umozni sudo pristup k necemu, co ma jako parameter neco na zpusob -exec,
tak uz mate zase rooty prakticky dva. (!!!)

> >>  - admin si nezvykne logovat sa kvoli kazdej hluposti na roota, ale je
> >>    nuteny pouzivat normalny pouzivatelsky login, cim neznizuje dalej
> >>    moznost urobenia chyby pod rootom.
> > 
> >        Nevybirat si postu pod uid 0 uz je spis o prirozene inteligenci.
> 
>  kto hovori o poste? ja hovorim o vsetko na co staci bezny pouzivatel.
>  ak je niekto tupec, nepomoze mu nic a v tomto pripade je diskutovat o
>  bezpecnosti irelevantne.

	Toto je samozrejme naprosta pravda.

	Pekny den.

-- 
Vašek Stodůlka
tel.: +420 608 200 860

Další informace o konferenci Linux