Vice admin. uctu

Dan Lukes dan at obluda.cz
Fri Sep 10 13:35:41 CEST 2004


Jozef Babjak wrote:

>>zapamatovatelna) - a sam pouzivam ucet uplne jiny. V mem pripade to jde
>>tak daleko, ze ucet "root" nepouzivam dokonce ani na svem pocitaci doma,
>>kde rozhodne jiny root neexistuje - kvuli unifikaci mam i tady svuj
>>obvykly "root-ekvivalent" a ucet s nazvem "root" je v tomto pripade
>>zcela zakazan.
> 
> 
>   ^-- Mozno nechtiac, ale prave ste nacrtli celkom elegantne riesenie 
> vcera diskutovaneho problemu o pokusoch virusov (?) vzdialene uhadnut 
> heslo roota,  v pripade,  ze login roota musi byt z nejakych pripadov 
> dovoleny aj cez ssh, nielen cez su. 

	Tento side-efekt zminene konfigurace znam. Nicmene, situaci, kdy je
nutne na dalku povolit prihlaseni primo na root ucet zase povazuji za
"velmi specialni" pripad ja, takze me vice-mene nenapadlo, ze by to tak
nekdo mohl mit.

	Z toho duvodu externi pokusy o nalogovani se na roota povazuji za zcela
marginalni problem, ktery jsem neresil a, pripoustim, ze jsem podobnou
reakci ocekaval i od zbytku sveta ...

	Duvodu, proc by nekdo mohl potrebovat povolit vzdalene prihlasovani
primo na roota nesledavam mnoho. Snad jen situaci, kdy potrebuji z
jednoho pocitace na druhy prenaset nejake soubory, jejichz umisteni na
cilovem pocitaci vyzaduje rootovska opravneni. To by sice bylo, patrne,
cistsi ve vetsine pripadu resit zmenou prislusnych opravneni (aby mohl
prislusny soubor zapsat i onen uzivatel, ktereho budu pro tyto ucely
pouzivat), ale toto, reseni neni vzdy snadne/mozne a ja ho nepouzivam i
tehdy, kdyz mozne je. Misto toho necham prenest soubor do vyhrazeneho
adresare vyhrazeneho uzivatele (ktery nema zadna specialni prava -
naopak, krome prava zapisovat do onoho vyhrazeneho adresare zadna prava
nepotrebuje) - zde si ho najde pravidelne spousteny script, ktery jiz
lokalne bezi v kontextu uzivatele root a ten ho uz umisti na spravne
misto (a pripadne provede souvisejici akce jako restart daemona ci
nikoliv). Pravda, tim se dusledek prenosu soubory zpozdi prumerne o 1/2
minuty - to me ale vetsinou nepali.

	Cilem teto konfigurace je znesnadnit pripadnemu utocnika, kteremu se
podarilo uspesne napadnout jeden stroj rozsireni pole pusobnosti na
stroje jine. Ani z "hlavniho" stroje by se nemel dnadno "dostat" na
stroje podrizene a jeho schopnost ovlivnovat jejich cinnost by mela
zustat co nejomezenejsi (nejprve musi zanalyzovat system prenosu souboru
na podrizene stroje a ani pak nebude schopen ovladat vic, nez co byl
schopen ovladat puvodni "master" - alespon do doby, nez se mu podari
rozlustit pristupova hesla nektereho spravce, ktera, ac by mela byt,
nejsou na ruznych strojich ruzna).

						Dan


-- 
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz



More information about the Users-l mailing list