-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Antonio Castro wrote: > No he mirado esta referencia pero tengo claro que en /sbin pese a > contener comandos de uso reservado a root cualquier usuario tiene > permiso para ejecutarlos. Ser�a tonto pensar que por no dar permiso > a usar un programa nuestro sistema est� a salvo. Un programa es algo > que cualquiera puede conseguir una copia y ejecutarlo.
Cualquiera puede ejecutarlo, si, pero lo que yo dije, es que en /sbin y /usr/sbin se ponen comandos administrativos, y que "solo root debe" poder usarlos, no que solo root puede usarlos :). El mismo script de Bastille [1] le quita el permiso a herramientas administrativas a usuarios no root, como mount, ping, at...... el sistema no esta a salvo, porque nunca lo estara :p, pero se "endurece" la instalacion. > Se permiten usar porque la pol�tica es muy abierta y muy libre. Se > permite todo salvo aquello que suponga un peligro cierto y tampoco > se oculta nada de informaci�n salvo lo que suponga un peligro cierto. > En Linux cualquiera tiene acceso a los fuentes de cualquier ejecutable > porque la seguridad no se basa en el secreto. Secretas son las claves > de usuario, algunos logs, y cosas que den pistas innecesarias a los > intrusos. > > Restringir permisos sin una buena raz�n no es una buena pol�tica. > > Si un usuario normal intenta usar '/sbin/fdisk -h' obtendr� el resultado > de la ejecuci�n de ese comando que usado de esa forma es bastante > inofensiva. Estamos usando el comando para saber como se usa. Por el > contrario el usuario intenta hacer un uso indebido de los recursos > del sistema '/sbin/fdisk /dev/hda' obtendr� un mensaje de error por falta > de permisos sobre ese dispositivo. > > Solo se pueden usar los recursos, ficheros, memoria, dispositivos, etc > haciendo una llamada al kernel. En todo estoy de acuerdo y pienso similar y la ideologia del software libre asi esta planteada. > Todo proceso viene identificado por un EUID y en mi opini�n este es el > punto clave de la seguridad de todo el sistema. Es un punto clave en la seguridad de una parte del sistema. El Bastille, que personalmente recomiendo, quita el SUID al usuario no root. Por cierto, lo tenemos en Debian: bastille - Security hardening tool [1] http://www.bastille-linux.org/ Saludos, - -- Christian Frausto Bernal http://www.conocimientopractico.com http://www.conpra.com/cfrausto.gpg -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (MingW32) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCbSiln9a3KM4uVGwRAtepAJ43Ty7ttJXuig5WL8yLCtZknEc9igCfbHAl BYHnc3kxn4WVEz+8sE/r1fk= =QbNj -----END PGP SIGNATURE----- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
