[EMAIL PROTECTED] scria la data de 13 Ianuarie 2006:
> On Fri, 13 Jan 2006, Liviu Daia wrote:
>
> > Mihai Maties scria la data de 13 Ianuarie 2006:
> >> On Friday 13 January 2006 11:12, Liviu Daia wrote:
> > [...]
> >>> Citeste cu rabdare manualul, sudo este foarte potrivit pentru
> >>> toate astea. De altfel Todd Miller si Chris Jepeway (care l-au
> >>> scris) au ceva experienta in domeniu.
> >>
> >> Foarte frumos, esti prima persoana pe care o intalnesc si care
> >> foloseste 'sudo' la adevarata valoare.
> >
> > In institutiile care iau in serios securitatea, administratorii
> > nu _stiu_ parola de root. Aceasta se afla intr-un plic sigilat, in
> > safe-ul institutiei, si este scoasa numai in cazuri exceptionale,
> > situatii in care se intocmesc si mai multe rapoarte.
> >
>
> Ca sa nu mor prost: cind ai de facut chesti cu privilegii mai ridicate
> ce faci ? Sudo ?
Da.
> daca cineva iti "sparge" contul nu are acces la aceleasi privilegii ca
> si tine ?
Daca instaleaza un keylogger si tu nu te prinzi, da.
> sau imi scapa ceva ?
(1) Acelasi lucru este valabil pentru orice alt mod in care ai ridica
privilegiile dintr-un cont user: su, ssh etc.
(2) In ciuda aparentelor, contul tau e cel mai putin expus. Cineva
care sparge o masina obtine mai intai un shell cu UID-ul unuia
din daemon-ii locali (nobody, www, ceva de tipul asta), apoi
ataca direct root-ul, nu contul tau. Tu nu rulezi daemon-i cu
privilegiile tale, nici nu browse-zi, nu citesti mail, nu rulezi X
etc. pe server, firewall etc. Nu folosesti contul ala decat pentru
administrare. Daca faci altfel nu ai inteles propriul model de
securitate.
Salutari,
Liviu Daia
--
Dr. Liviu Daia http://www.imar.ro/~daia
_______________________________________________
RLUG mailing list
[email protected]
http://lists.lug.ro/mailman/listinfo/rlug
