Hogyan védekezhetünk a hülye rendszergazdáktól

 ( tamaas | 2004. június 17., csütörtök - 18:18 )

Hogyan védekezhetünk a hülye rendszergazdáktól

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szerintetek mit lehet tenni, ha az ember webrádiót akar hallgatni, vagy egyszerüen filmet akar nézni az egyetemi gépen és ez fogadja:

crw------- 1 gaboca root 14, 0 Jan 30 2003 /dev/mixer
crw------- 1 gaboca root 14, 16 Jan 30 2003 /dev/mixer1
crw------- 1 gaboca root 14, 3 Jan 30 2003 /dev/dsp
crw------- 1 gaboca root 14, 19 Jan 30 2003 /dev/dsp1
crw------- 1 gaboca root 55, 0 Jan 30 2003 /dev/dsp56k

gaboca egy user.
Semmi hozzáférésem nincs a hangkártyához, sem a mixerhez, se floppyhoz, ...
Miért jó az, ha valaki ilyet csinál?

Üdv.: Tamaas

Így védekezünk a superusertől, aki webrádiót akar használni... :))))

Hi!

Ha a gepet lehet bootolni floppyrol, CD-rol, vagy Pendrive-rol, akkor egyszeru a helyzet. Bootolj be arrol, es ird at a jogosultsagokat.

By(t)e
TBS::Antiemes

Ugy veszed hogy implicit benne van a policyban hogy nem lehet
es mekered az operatort hogy adjon ra engedelyt?

Vagy használj egy live-disztribet, annál egyszerűbb nincs. :lol:
Még nyoma sem marad a gépen.

MantaRay

Floppy: nem bootol, meg tilos is. //bár a bios 256 szóköz után elvileg beenged
Live-CD: szintén
USB: detto
meghackelni nem akarom

A rendszergazdára meg a múltkor már ráborítottam az asztalt mert nem tudok CD-t írni.:evil:
Nincs hozzá jogom. :roll: Azóta ferdén néz rám.
(Bár igaz, hogy elötte megkérdeztem töle a root jelszót is, hogy kijavítsam a hibákat amiket elszúrt, de elég ferdén nézett rám.)

Szóval költöi kérdés: Miért vesznek fel ilyen marhákat rendszergazdának? :?:

Üdv.: Tamaas

Nevezhetsz hulyenek engem is de lehet, hogy egy barki altal hozzaferheto gepen en is hasonlo policy-ket alkalmaznek. Gondolom, hogy az egyetemi gepeket elsosorban informaciokeresesre meg hasonlokra szanjak es nem webradio hallgatasra meg cd-irasra :)

Vannak különös rezsimparasztok. :o :P

[quote:13784fcc36="shan"]Nevezhetsz hulyenek engem is de lehet, hogy egy barki altal hozzaferheto gepen en is hasonlo policy-ket alkalmaznek.[/quote:13784fcc36]

Nem azért hülye, mert nem tudok floppy-ról, CD-röl, USB-röl bootolni. Ebben teljesen igaza van.
Csak mikor egy device-t egy usernek ad, mert elszarta a scriptet (minden gépen másik user-é a floppy, a dsp, a mixer...) akkor menjen kínába. Ha kérünk valamit és odavisszük a konkrét megoldást is, akkor sem hallgatnak meg.
Én egyetértek a biztonsági kérdésekkel, csak a hülyeséggel nem.

[quote:13784fcc36="shan"]Gondolom, hogy az egyetemi gepeket elsosorban informaciokeresesre meg hasonlokra szanjak es nem webradio hallgatasra meg cd-irasra :)[/quote:13784fcc36]

Hát itt ez egy kicsit más rendszer, mint otthon.:D Minden gépben van CD-író, akkor gondolom az azért van, hogy használjuk is. Meg mivel van több száz gép, és mindig van sok szabadon, akkor nem az a gáz, hogy valaki nem tud leülni tanulni, hanem hogy mindig rosszul vannak konfigurálva.
Pedig egy-egy config-ból van 30-40 db. Így szépen tükrözhetöek, nem kell egyenként telepíteni és konfigolni.

Üdv.: Tamaas

Veletlenul nem Gentoo ? Mert akkor nem szart el semilyen scriptet, ugyanis ez a default pam beallitas...

/etc/security/console.perms

[quote:ce7046f893="kisindian"]Veletlenul nem Gentoo ? Mert akkor nem szart el semilyen scriptet, ugyanis ez a default pam beallitas...

/etc/security/console.perms[/quote:ce7046f893]

RedHat 9.0
De ezt akkor most nem értem. Lehet, hogy nagyon hülye vagyok, de miért lenne jó egy telepített Linuxon, ha van ca. 6000 feéhasználó és minden egyes gépen csak egy tudja használni a hangkártyát, floppyt, ... :?:
A többi meg csak néz ki a fejéböl. pl. én :cry:

Ha van értelmes oka elfogadom, de nem látom. :(

Üdv.: Tamaas

[quote:83f7a6b5fa="tamaas"][quote:83f7a6b5fa="kisindian"]Veletlenul nem Gentoo ? Mert akkor nem szart el semilyen scriptet, ugyanis ez a default pam beallitas...

/etc/security/console.perms[/quote:83f7a6b5fa]

RedHat 9.0
De ezt akkor most nem értem. Lehet, hogy nagyon hülye vagyok, de miért lenne jó egy telepített Linuxon, ha van ca. 6000 feéhasználó és minden egyes gépen csak egy tudja használni a hangkártyát, floppyt, ... :?:
A többi meg csak néz ki a fejéböl. pl. én :cry:

Ha van értelmes oka elfogadom, de nem látom. :(

Üdv.: Tamaas[/quote:83f7a6b5fa]

Nagyon elnagyolva ez ugy mukodne, hogy ha vki bejelentkezik konzolon akkor hozzarendelodnek bizonyos eszkozok. pl. audio cuccok. Logout utan a device visszakapja az eredeti beallitasait. Ez elmeletileg logikus, ellenben bizonyos esetekben igen sz.rul mukodik.... Ezert ez a ficsor nalam is torlendo :)

Mas szoval ezert alapbol nem a rendszergazdi a felelos.

[quote:9a19417915="tamaas"][quote:9a19417915="shan"]Nevezhetsz hulyenek engem is de lehet, hogy egy barki altal hozzaferheto gepen en is hasonlo policy-ket alkalmaznek.[/quote:9a19417915]

Nem azért hülye, mert nem tudok floppy-ról, CD-röl, USB-röl bootolni. Ebben teljesen igaza van.
Csak mikor egy device-t egy usernek ad, mert elszarta a scriptet (minden gépen másik user-é a floppy, a dsp, a mixer...) akkor menjen kínába. Ha kérünk valamit és odavisszük a konkrét megoldást is, akkor sem hallgatnak meg.
Én egyetértek a biztonsági kérdésekkel, csak a hülyeséggel nem.

[quote:9a19417915="shan"]Gondolom, hogy az egyetemi gepeket elsosorban informaciokeresesre meg hasonlokra szanjak es nem webradio hallgatasra meg cd-irasra :)[/quote:9a19417915]

Hát itt ez egy kicsit más rendszer, mint otthon.:D Minden gépben van CD-író, akkor gondolom az azért van, hogy használjuk is. Meg mivel van több száz gép, és mindig van sok szabadon, akkor nem az a gáz, hogy valaki nem tud leülni tanulni, hanem hogy mindig rosszul vannak konfigurálva.
Pedig egy-egy config-ból van 30-40 db. Így szépen tükrözhetöek, nem kell egyenként telepíteni és konfigolni.

Üdv.: Tamaas[/quote:9a19417915]

Nos, ebben az esetben egyet tudok erteni. Az az igazsag, hogy mar nagyon az agyamra megy a sok hulye windows kliens, ezert aztan ahol tudom ott korlatozom oket :) Rossz beidegzodesek ;)

[quote:ff41b66a9f="tamaas"]
RedHat 9.0
De ezt akkor most nem értem. Lehet, hogy nagyon hülye vagyok, de miért lenne jó egy telepített Linuxon, ha van ca. 6000 feéhasználó és minden egyes gépen csak egy tudja használni a hangkártyát, floppyt, ... :?:
[/quote:ff41b66a9f]

ha Debiant telepítesz az alap config szerint a normal userek nem férnek hozzá pl a hangkártyához, csak akiket beteszel az audio group-ba, cdírós dolognál szintén ez a helyzet (cdrom groupba bepakolod őket és csak utána..)

talán lehetséges hogy elfelejtették azon a gépen beállítani ezt vagy szándékosan tették ;) mondván ne bömböltessen senki a gépteremben goa-t ;)

kicsit jópofizz a sráccal aztán nagy kegyesen odamegy az egyik géphez és bepötyögi: adduser tamaas audio :D

nem azert de meg oda sem kene menni ahhoz a gephez.
tudom sokan nem szeretik, de a webmin meg tudja csinalni, hogy egyszerre N szamu gepet beallit M sema alapjan. gondolom akkor maris konnyebb lehet az elete szegeny rendszergazdanak.

Hat akkor lassuk: )

1.) Egy egyetemi rendszergazdat baromira nem erdekel, hogy te a gepteremben szeretnel zenet hallgatni, TV-t nezni, CD-t irni, DVD-t rippelni, stb. Ot az erdekli, hogy az oktatashoz hasznalt programok fel legyenek telepitve, es kesz.

2.) Egy egyetemi rendszergazda munkaidejenek 70%-ban az oktatok, tanszekvezetok, titkarnok Windows-os Word-os siralmainak megoldasaval foglalkozik, tovabbi 20%-ban az ujonnan erkezett tanszeki gepek telepitesevel, valamint a tszk.vezeto uj gepet kapott, az o regi gepe megy a helyettesehez, a helyettes regi gepe a titkarnohoz... tipusu problemakkal. Tovabbi kb 9%-ban a szervergepek karbantartasaval, useradminnal, halozati dolgokkal, es a maradek 1% idejet forditja a geptermek konfiguralasara.

3.) Lehet, hogy tok jol beallitotta, hogy a pam-devperm adja oda a konzolon belepo felhasznalonak a floppy-t, cd-t stb-t. Csak a kedves hallgato a logout helyett a power gombbal lepett ki...

4.) Az is kerdes, hogy mit allitott be login-device-nak a pam-devperm konigjaban. En pl. csak :0-at szoktam megadni, hogy ne legyen versenyhelyzet a kulonbozo terminalokon belogolt userek kozott. Lehet, hogy rossz terminalrol probalkoztal.

5.) Tenyleg sokan nem szeretjuk a webmint :) Sot, en nem csak hogy nem szeretem, de felnek is felrakni. Viszont
[code:1:7d5fa72d8d]apt-get install clusterssh
vim ~/.csshrc
cssh gepterem
[/code:1:7d5fa72d8d]