Kérdés

Egy thread-et olvasva jutott eszembe néhány dolog...

Egyes Windows rendszergazdák esküsznek arra, hogy milyen jó dolog az ``administrator'' account-ot átnevezni valami másra (több helyen is láttam, hogy ez bevált gyakorlat), mert az milyen biztonságos.

A freebsd-security listán merült fel szintén a kérdés, hogy van-e értelme annak, ha valaki átnevezi a root felhasználót. A kérdező arra szeretett volna választ kapni, hogy az uid 0 és a root név milyen kapcsolatban vannak egymással. Az elképzelése az, hogy a kívülről támadóknak sokkal nehezebb a dolguk, ha nem ismerik a rendszer belső felépítését. Szerinte, ha nem létezik a root felhasználó, akkor nem tudják kívülről azt támadni.Egyesek szerint nem jó ötlet átnevezni a root felhasználót, mert az ``security through obscurity'', azaz titkolózáson alapuló biztonság, ami egyes elméletek szerint nem kifizetődő. Ezen kívül előfordulhat, hogy a root felhasználó átnevezése a rendszer hibás működéséhez vezethet. Az egyik válaszoló szerint a legtöbb bináris az uid 0-át ellenőrzi, így az, hogy amellett milyen név áll lényegtelen. Emellett a távoli támadások nagy részének nem kell tudnia a 0-ás uid-dal rendelkező felhasználó nevét, hiszen elegendő csak a nevében futó alkalmazást támadni. A brute force típusú támadások kivédéséhez pedig egyszerűen le kell tiltani a root felhasználóval történő távoli elérés lehetőségét (pl. ssh), vagy felhasználónév/jelszó páros helyett valamilyen más, biztonságosabb megoldást kell alkalmazni (kulccsal, kulccsal+jelszóval történő authentikáció) így az ilyen típusú támadások elkerülhetők.

Vannak olyanok, akik szerint a rendszert legjobb védeni még a root felhasználótól is. Ők a securelevels-re és a chflags-re esküsznek. Az elméletük az, hogy ha a root felhasználó account-ját megtörik, akkor sem tudnak fontos fileokat módosítani a rendszeren a betörők, mert a securelevel és a fileokon állított flag-ek ezt megakadályozzák. Persze erről is megoszlanak a vélemények. Éppen a minap csöppentem bele két HUP olvasó vitatkozásába az IRC-n arról, hogy van-e értelme a securelevels-nek, ha a támadó képes a kernel memóriát közvetlenül manipulálni.

Egy másik listatag szerint a root felhasználó megváltoztatása rossz, ellenben a toor felhasználónak shell-t adni (magyarul engedélyezni) és egyben a root-nak /sbin/nologin
shell-t adni annyira nem elvetélt ötlet. Valaki azt tudakolta, hogy a toor felhasználónak van-e valami létjogosultsága egyáltalán. Valaki szerint nincs.

A thread itt.

A kérdés: neked mi a kedvenc biztonsági intézkedésed?

Az új cdw verzió - valamint az új homepage - grafikai elemeinek megtervezéséhez és elkészítéséhez keresek hozzáértő embereket. Ikonok, logó, splash-screen, témák elkészítéséről volna szó. Minden segítséget örömmel vennék, mert a grafika nem az én területem :-) Itt vagyok rezidens: vbali AT linuxforum.hu

A cdw fejlesztése az utóbbi időben akadozik, sőt - ha pontosabban kívánok fogalmazni - akkor teljesen leállt. Az utolsó verzió - a 0.2.3-as - 2004. májusában került kiadásra. Korábban is voltak kisebb kihagyások, de mindig sikerült túllendülni ezeken az időszakokon.Most azonban úgy érzem - remélem tévesen -, hogy a projekt már nem tart számot túlzott érdeklődésre. Persze ez elsősorban annak is köszönhető, hogy immáron fél éve semmi aktivitást nem mutat. Ezzel Eric S. Raymond hetes számú "törvénye" ellen vétettem, miszerint "Adj ki korán. Adj ki gyakran. És figyelj a fogyasztóidra.".

Egy felmérést tettem közzé a projekt honlapján "Várod a cdw új verzióját?" címmel. Szeretnék visszajelzést kapni azzal kapcsolatban, hogy van-e értelme ismét "felébreszteni" a projektet! Megkérek mindenkit, hogy ha lehetősége van akkor szavazzon itt.

Ha esetleg valaki a tisztelt olvasók közül szívesen átvenné a projekt irányítását és nálam több időt tud szánni rá - akkor könnyező szemmel ugyan, de a projekt érdekeit figyelembe véve - átadom a lehetőséget és minden segítséget megadok a sikeres folytatás érdekében. Ezen a címen tudtok elérni: vbali AT linuxforum.hu