Miroslav Lachman wrote:
> Za sebe mohu napriklad k MySQL postnout nasledujici kroky, ktere delam v
> zajmu zvyseni bezpecnosti ihned po jejim nainstalovani:
> ...
A jeste - uplne zakazat sitovy pristup (--skip-networking). Samozrejme,
na pocitaci, kde plati, ze neni jinych uzivatelu nez spravcu.
> miera snahy o maximalne zabezpecenie systemu je nepriamo umerna
> schopnostiam a sikovnosti admina.
Jen do urciteho bodu. Od urcite urovne snahy se totiz ukazuje, ze je
rozdil mezi "velikosti snahy" a realnym vyslednym zabezpecenim.
Typickym pripadem jsou "silne snahy o zabezpeceni" projevujici se
"heslovym fasismem" - uzivatele musi mit dlouha hesla, povinne
obsahujici pismena, cisla a jeste dalsi jine znakys povinnosti tato
hesla pomeren casto obmenovat a kontrolou, ze nerotuji stale stejnou
malou sady totoznych hesel.
Tato extremni snaha o maximalni zabezpeceni ve sktuecnosti prinasi
realne nizsi bezpecnost, protoze uzivatele si hesla nutne zacnou psat.
Casto primo na monitor. Nebo na papirek v prvnim supliku ...
Zminene schopnosti a sikovnosti admina se tedy projevuji nejen v tom,
jake ochrany je schopen vymyslet a nasadit, ale take ve schopnosti
odhadnou, za jakou mez uz nema smysl jit, protoze zisk nedosahuje
vynalozenych prostredkum nebo je dokonce uz sam zisk zaporny.
> neplati to vzdy plosne (vid napr. banky, kde je maximalna security
> nutna)
Skoda, ze na tohle tema se tady bavit nemuzeme. Mam nekolik moc
veselych a soucasne poucnych historek o realne bezpecnosti v podobnych
institucich. ;-)
Dan
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
