Vice admin. uctu

Dan Lukes dan at obluda.cz
Fri Sep 10 12:29:01 CEST 2004


Jozef Babjak wrote:

>>nekolikrat jsem v konferenci objevil prispevek, ve kterem se mluvilo o 
>>tom, ze pokud server administruje vice lidi, zalozi se pro kazdeho ucet 
>>s UID 0, aby nemuseli znat heslo roota.

>>Nebo jsem neco totalne nepochopil a moje predstava o "vice rootovskych" 
>>uctech je naprosto zcestna?

> 
>   ^-- Opodstatnie ma len vo velmi specifickych pripadoch (sam so sa s 
> takouto nestretol; ini mozno ano). 

	No, z pohledu cloveka, ktery ma paranoiu i v oficialni pracovni naplni
to vidim trochu jinak. Tato konfigurace je na miste vzdy, kdyz ma mit
opravneni "root" vic nez jedna osoba. Tedy vzdy, kdyz je spravcem vic
nez jedna osoba, ale take v situaci, kdy je spravcem sice jedn aosoba,
ale "rootovske" heslo je napriklad (take) ulozeno v obalce v sejfu u
reditele spolecnosti.

	Z hlediska bezpecnosti jsou neprijatelna jak sdilena konta tak
(zejmena) hesla - alespon tam, kde se tomu da vyhnout (a to tady lze bez
vetsi namahy).

	Navzdory tomu, ze vsichni uzivatele maji UID 0 a v nekterych ohledech
bude tezke rozlisit, ktery konkretni uzivatel provedl konkretni akci,
presto se v LOGu zachova kdo konkretne byl prihlasen a to vetsinou na
urceni konkretniho "roota" staci.

	Krome toho, sdilena hesla, pokud bude pristup chranen heslem, budou
typicky jednoducha (nebo alespon generovana podle jednotneho
jednoducheho mustru), aby si je dokazali zapamatovat vsichni, nebo si je
(alespon nekteri) budou mit tendenci poznamenavat - coz bezpecnost take
nezvysuje ...

	Napriklad v praci, hesla "root" uctu typicky neznam, protoze uz pri
instalaci jsem je vygeneroval vice-mene nahodne, zapsal do jiz zminenych
obalek, ktere lezi v trezoru a v zapeti zapomel (stejne nebyla
zapamatovatelna) - a sam pouzivam ucet uplne jiny. V mem pripade to jde
tak daleko, ze ucet "root" nepouzivam dokonce ani na svem pocitaci doma,
kde rozhodne jiny root neexistuje - kvuli unifikaci mam i tady svuj
obvykly "root-ekvivalent" a ucet s nazvem "root" je v tomto pripade
zcela zakazan.

	Pripoustim, ze to co jsem napsal neni v rozporu s puvodnim tvrzenim,
pokud se stroj, kde existuje vic nez jedna osoba s (alespon obcasnym ci
havarijnim) rootovskym opravnenim zadefinuje jako zmineny "specificky
pripad".

						Dan
	

-- 
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz



More information about the Users-l mailing list