prihlasenie ak shell=/bin/false

Michal Kubecek mike na mk-sys.cz
Středa Květen 4 00:57:48 CEST 2005


On Tue, May 03, 2005 at 11:34:17PM +0200, Dalibor Straka wrote:
> S tim nfs jsem si nedavno vyzkousel take hezkou vec. Kdyz budete
> exportovat /home/user, tak se do jeho adresare kazdy vkrade. Staci
> se podivat jaky UID ma adresar /home/user, zalozit si u sebe uzivatele
> se stejnym UID a primountovat si tento adresar.
> 
> (Pokud je export tohoto home omezen na prislusna IP, tak si udelat
> skript a zmenit si svoji IP na tu spravnou a udelat utok velmi rychle.
> Vyzkouseno v podminkach cvut.cz ;-), tzn. zmena IP nevadila.)
> 
> NFS je dobre kdyz
> a) je read only
> b) clovek zna jeho slabiny, pak muze vyuzit jeho prednosti

  c) je používán lokální síti s jednotnou správou a jednotnou databází
     uživatelů - jak byl původně zamýšlen

Ale i tak samozřejmě zůstává řada bezpečnostních slabin.

							  Michal Kubeček



Další informace o konferenci Linux