Biztonság? Uhu 1.2 - root jogok 10 sec alatt :P

[quote:0d21f2d9a9="norcrys"][quote:0d21f2d9a9="muszashi"] Ha megnézed a szakma nagyjait, ők sosem nyilatkoznak ilyen "vad" stílusban. Szerénység, alázat és sok sok tanulás és gondolkodás.

A szakma "nagyjait" általában nem izgatja, MS vagy Unix, ők gazdagok akarnak lenni / maradni... Csak a szegény ember ideológizálja meg a dolgokat. A szakmai nagyjai általában a saját területüket akarják fejleszteni, ehhez meg kell a konkurencia jóindulata is, a túl nagy összeveszés nem ildomos. De ez nem szerénység (hahaha!) hanem a pénz szentháromsága (pénz, pénz, pénz).
A sok tanulás... Ha vezető akarsz lenni, csak végezz el egy önbutító egyetemet, és nyomulj, ezt látom. A sokat tanultak meg végzik a valódi munkát.

" A szakma "nagyjait" általában nem izgatja, MS vagy Unix, ők gazdagok akarnak lenni / maradni... Csak a szegény ember ideológizálja meg a dolgokat. A szakmai nagyjai általában a saját területüket akarják fejleszteni, ehhez meg kell a konkurencia jóindulata is, a túl nagy összeveszés nem ildomos. De ez nem szerénység (hahaha!) hanem a pénz szentháromsága (pénz, pénz, pénz). "

Ember! Miről beszélsz??? Nem a Bill-ről beszélek, hanem azokról az emberekről, akik nagytudású Linuxosok! Pl: Atya, Slapic ...és még sokan mások. Ők sosem fogalmaznak úgy, ahogy Te! A tudás egyfajta alázattal jár! Én mindössze erről írtam, arról, hogy ha valaki képben van valamivel, akkor sokkal nagyobb alázattal beszél róla.

"A sok tanulás... Ha vezető akarsz lenni, csak végezz el egy önbutító egyetemet, és nyomulj, ezt látom. "

Ezt nem igazán értem, hogy került ide. Ki beszélt itt vezetőkről, beosztottakról, királyokról szolgákól és hóhérokról? Zöld égből, fekete eső esik, csitt egy fecske szállt a villamosra!

"A sokat tanultak meg végzik a valódi munkát"

Na, ezért kell tanulni! Most végre jó vágányon vagy! Ha nem tanulsz nem fogsz tudni, ha nem tudsz, nem fogod tudni elvégezni a munkát, ha nem tudod elvégezni a munkát, akkor elküldenek a pi**ába, he nem lesz munkád éhenhalsz! ..vagy elmehetsz havatlapátolni is, esetleg WC-t súrolni! Az is hasznos munka és valakinek el kell azt is végezni. A kérdés csak az, hogy Te leszel-e vagy más?!
Szóval szerintem inkább tanulj és ne háborogj!

Üdv: Muszasi

Igen, ezt érdemes lenne megírni az UHU-soknak.
De a BIOS jelszó mint bizonyára tudod, nem ér semmit az olyan embereknek, akik kernelparamétereket írogatnak be.
A kedves UHU ingyért adja ezt az alternatívát, bár megveheted. És ahogy írod, ez egy desktop oprendszer, ahol mondjuk a telepítő rendszergazdának lenne pl. kötelessége levédeni a root-ot.
Kíváncsi lennék, a szerver uhu-nál fennáll-e ez a probléma.

Ha ez tényleg így van és tényleg root jogod is van egyből, akkor...

Üdv: Bepe

[quote:871c7ad236="norcrys"]Igen, ezt érdemes lenne megírni az UHU-soknak.
De a BIOS jelszó mint bizonyára tudod, nem ér semmit az olyan embereknek, akik kernelparamétereket írogatnak be.
A kedves UHU ingyért adja ezt az alternatívát, bár megveheted. És ahogy írod, ez egy desktop oprendszer, ahol mondjuk a telepítő rendszergazdának lenne pl. kötelessége levédeni a root-ot.
Kíváncsi lennék, a szerver uhu-nál fennáll-e ez a probléma.

Megtettem. Elküldtem a listájukra a https://lists.uhulinux.hu/ címen.

Üdv: Bepe

valahogy így tudtam én pár hónapja a saját debianomat is "feltörni", mert a rootjelszót vmi idióta progi közvetlenül asciiben beírta a /etc/passwd-be. Ott miért nem ilyen hatalmas baj?

[quote:a5717b8190="Csigaa"]Hi!

A sulink megvette a hivatalos dobozos Uhu 1.2-t, és fel is rakta a rendszergizda egy-két gépre. Poénból mindig megpróbálom az init=/bin/bash kernelparamétert ha új linuxot látok, a válasz eddig mindig "Panic - attempted to kill INIT" volt. Uhu 1.2-ben nem kis meglepetésemre egy "root / # " prompt volt a jutalmam!

Na most ha a kedves Uhu Linux kft ezt komolyan PÉNZÉRT árulja, mint komoly és biztonságos office alternatívát, gratulálok nekik. Az 1.0-sban és az 1.1-esben még nem működött ez a "szolgáltatás" :P Ezt még egy óvodás is meg tudja törni.
Nem mintha nem tudnám, hogy livecd-vel simán lehet törölni a root jelszót, de egy normális gépen tiltva van a HDD-n kívül minden msá eszköz a bootban, és a BIOS jelszóval van védve. A Grub is védhető, tudom. De egy komoly Linux disztribúciótól elvárható, hogy jelszóval védett bootmanager NÉLKÜL is nehéz legyen root jogokat szerezni. És IGEN, eddig benn volt az a patch az Uhuban is amivel az init átirányítása kivédhető. Az 1.2-ből MIÉRT HAGYTÁK KI??

Már nem azért, hogy védjem az UHU-t, de ha slackware-t veszel ott sincs kivédve, hogy root jelszót szerezz. A rendszergazda feladata, hogy olyan helyen ahol szükséges ezt beállítsa. Egyébként meg mi a fenének kellene otthonra saját magamnak + jelszóval védenem amihez úgyis csak én piszkálok. Távolról meg úgy sem tudsz belépni, hacsak valami nincs nagyon elkefélve a biztonság terén.

[quote:56196bb29e="Csigaa"]Hi!

A sulink megvette a hivatalos dobozos Uhu 1.2-t, és fel is rakta a rendszergizda egy-két gépre. Poénból mindig megpróbálom az init=/bin/bash kernelparamétert ha új linuxot látok, a válasz eddig mindig "Panic - attempted to kill INIT" volt. Uhu 1.2-ben nem kis meglepetésemre egy "root / # " prompt volt a jutalmam!

Na most ha a kedves Uhu Linux kft ezt komolyan PÉNZÉRT árulja, mint komoly és biztonságos office alternatívát, gratulálok nekik. Az 1.0-sban és az 1.1-esben még nem működött ez a "szolgáltatás" :P Ezt még egy óvodás is meg tudja törni.
Nem mintha nem tudnám, hogy livecd-vel simán lehet törölni a root jelszót, de egy normális gépen tiltva van a HDD-n kívül minden msá eszköz a bootban, és a BIOS jelszóval van védve. A Grub is védhető, tudom. De egy komoly Linux disztribúciótól elvárható, hogy jelszóval védett bootmanager NÉLKÜL is nehéz legyen root jogokat szerezni. És IGEN, eddig benn volt az a patch az Uhuban is amivel az init átirányítása kivédhető. Az 1.2-ből MIÉRT HAGYTÁK KI??

ahahha menekuljon mindenki ITT EGY HEKKER

elarulom neked hogy a unix iranyelvekkel nem ellentetes az hogyha fizikailag le tudsz ulni egy gep ele akkor meg tudd torni

[quote:5a728c0f17="maat"]valahogy így tudtam én pár hónapja a saját debianomat is "feltörni", mert a rootjelszót vmi idióta progi közvetlenül asciiben beírta a /etc/passwd-be. Ott miért nem ilyen hatalmas baj?

Ha root jelszót valaki beírhatja, akiről azt se tudod, ki volt, akkor az egész úgy sem ér semmit... Én amúgy knoppix cd-vel szoktam a feltöréseket csinálni, amikor mondjuk nem jövök rá, mi a fenét is adhattam meg jelszónak.

[quote:f7fd79256e="drastik"]
elarulom neked hogy a unix iranyelvekkel nem ellentetes az hogyha fizikailag le tudsz ulni egy gep ele akkor meg tudd torni

Főleg ha egy desktop gépről van szó, amin mondjuk egy Ooo a leggyakoribb alkalmazás.

[quote:df9c2ee522="Csigaa"]A sulink megvette a hivatalos dobozos Uhu 1.2-t, és fel is rakta a rendszergizda egy-két gépre. Poénból mindig megpróbálom az init=/bin/bash kernelparamétert ha új linuxot látok, a válasz eddig mindig "Panic - attempted to kill INIT" volt. Uhu 1.2-ben nem kis meglepetésemre egy "root / # " prompt volt a jutalmam!

Na most ha a kedves Uhu Linux kft ezt komolyan PÉNZÉRT árulja, mint komoly és biztonságos office alternatívát, gratulálok nekik. Az 1.0-sban és az 1.1-esben még nem működött ez a "szolgáltatás" :P Ezt még egy óvodás is meg tudja törni.
Nem mintha nem tudnám, hogy livecd-vel simán lehet törölni a root jelszót, de egy normális gépen tiltva van a HDD-n kívül minden msá eszköz a bootban, és a BIOS jelszóval van védve. A Grub is védhető, tudom. De egy komoly Linux disztribúciótól elvárható, hogy jelszóval védett bootmanager NÉLKÜL is nehéz legyen root jogokat szerezni. És IGEN, eddig benn volt az a patch az Uhuban is amivel az init átirányítása kivédhető. Az 1.2-ből MIÉRT HAGYTÁK KI??

Eddig sem volt patchünk erre a célra, hanem egy kernel bug miatt az initrd-vel nem működött együtt az init= opció, de pl. initrd nélkül (ami grubban simán megadható, és a legtöbb gépen szintén jól működik) már ment az init=/bin/bash. Az 1.2-t azt mondod hogy egy óvodás is fel tudja törni. Elárulom, ez esetben az 1.1-et meg az 1.0-t is, mondjuk egy nagycsoportos. Ha hozzáfér fizikailag a géphez.

Ha azt akarod (mint ahogy egy általad komolynak hitt oprendszertől szerinted elvárható lenne), hogy ne kaphasson helyi felhasználó root shellt, akkor a dolgot ott kell kezdeni, hogy csak vinyóról bootolhat a gép, BIOS jelszóval védve, és a számítógép is fizikailag védve a behatolástól (pl. csavarhúzóval szétszedéstől), valamint nincs rajta "alternatív" oprendszer (gondoljon mindenki amire akar). Amíg ez nincs meg, addig szart sem ér, maximum téves biztonságérzetet ad, ha jelszavazik alapból a boot manager.

Egyébként nézd meg légy szíves, hogy hány másik disztrib van, amelyik a boot loaderen keresztül nem törhető meg alap beállítás mellett. Kérek szépen egy esettanulmányt, melyben megvizsgálsz több más disztribről és beszámolsz az eredményről. Köszi!

Szerintem sem igazi hiba ez!
Az, hogy a boot loadernél te ilyeneket be tudtál írni az azt jelenti, hogy a boot loader így volt beállítva.

Amúgy meg a helyi használati biztonság az elképzelhetetlen(Csak minimálisan)!

Aminek van értelme az a hálózati biztonság.

[quote:e73712211c="egmont"]
Eddig sem volt patchünk erre a célra, hanem egy kernel bug miatt az initrd-vel nem működött együtt az init= opció, de pl. initrd nélkül (ami grubban simán megadható, és a legtöbb gépen szintén jól működik) már ment az init=/bin/bash. Az 1.2-t azt mondod hogy egy óvodás is fel tudja törni. Elárulom, ez esetben az 1.1-et meg az 1.0-t is, mondjuk egy nagycsoportos. Ha hozzáfér fizikailag a géphez.

nem hat ez igaz a legtobb unixra
mondjuk /bin/sh -val

it's not a bug, it's a feature

[OFF]
drastik te sose dolgozol? :lol:
[/OFF]

Amúgy szerintem ez nem UHU specifikus.
nemtom debian alatt hallottál-e a jó kis "rescue" kernel imageről. ott is rootshellel indít, és kifejezetten arra szolgál, hogy "elfejeltett" rootjelszó, vagy elb@szott MBR -t lehessen vele orvosolni...

Amúgy létezik helyi biztonság. Titkosított fájlrendszer, grsec-es kernel, meg hasonló trükkök és elég jól lehet védeni a gépet. Ja, meg zárt helyiség, a megfelelő beléptető- és figyelőrendszerrel stb. Nyilván ez egy szimpla iskolára nem áll.

[quote:485c318d84="bandy"][OFF]
drastik te sose dolgozol? :lol:
[/OFF]

Amúgy szerintem ez nem UHU specifikus.
nemtom debian alatt hallottál-e a jó kis "rescue" kernel imageről. ott is rootshellel indít, és kifejezetten arra szolgál, hogy "elfejeltett" rootjelszó, vagy elb@szott MBR -t lehessen vele orvosolni...

bandy dehogynem
amikor a baratnodet dugom, az nekem MUNKA!
:_)

iskolaban tessek grubra jelszot tenni. ennyi :wink:

[quote:a0a752f3c9="vmiklos"]iskolaban tessek grubra jelszot tenni. ennyi :wink:

nehogy a sved hekkergyerek mintajara a kuruc legenyek is kapara, kaszara, exploitra kapjanak

[quote:725ef89ad0="Csigaa"]NEM, nem a hekkelés vagy a keménykedés volt a célom, ne értsetek félre. Az 1.0-s és 1.1-es Uhuban bent volt az a patch ami az ilyen "komoly hekkelést" kivédte, az 1.2-esben meg nem, főleg ez amitől elszállt az agyam.

Akkor próbáld ki az 1.0-on meg az 1.1-en hogy megadod a root-ot is paraméterként, akkor valószínüleg elindul! :)

init=/bin/bash root=/dev/hdxx

Így elindul initrd nélkül is... legalábbis nekem eddig ment! :)

[quote:ae123f7d47="Csigaa"]NEM, nem a hekkelés vagy a keménykedés volt a célom, ne értsetek félre. Az 1.0-s és 1.1-es Uhuban bent volt az a patch ami az ilyen "komoly hekkelést" kivédte, az 1.2-esben meg nem, főleg ez amitől elszállt az agyam.

te tudsz olvasni vagy csak write only modban hasznalod az internetet?

[quote:ae123f7d47="egmont"]
Eddig sem volt patchünk erre a célra, hanem egy kernel bug miatt az initrd-vel nem működött együtt az init= opció, de pl. initrd nélkül (ami grubban simán megadható, és a legtöbb gépen szintén jól működik) már ment az init=/bin/bash. Az 1.2-t azt mondod hogy egy óvodás is fel tudja törni. Elárulom, ez esetben az 1.1-et meg az 1.0-t is, mondjuk egy nagycsoportos. Ha hozzáfér fizikailag a géphez.

[quote:a1e951e5a9="drastik"]bandy dehogynem
amikor a baratnodet dugom, az nekem MUNKA!

probaltad mar kikapcsolodaskent csinalni? :)

[quote:12f781637d="norcrys"]Amúgy létezik helyi biztonság. Titkosított fájlrendszer, grsec-es kernel, meg hasonló trükkök és elég jól lehet védeni a gépet. Ja, meg zárt helyiség, a megfelelő beléptető- és figyelőrendszerrel stb. Nyilván ez egy szimpla iskolára nem áll.

a múltkor láttam a mucsajröcsögei általánosiskolában, hogy a retinaszkenneren túljutva még újjlenyomat és dns vizsgálaton is át kellett esni a gyerekeknek hogy géphez jussanak :)))
a fémdetektorokról és a gépek közt járőröző feketemaszkos gépfegyveres kommandósokról nemis beszélve :)))
persze mindezt azért, hogy biztonságban tudják használni az ooo -t ;)

egyébknét meg minek ide bios jelszó? fogsz egy láncfűrészt és kivágod a floppy-t, cd-t, dvd-t egyéb dógokat' oszt' jóvan. jameg mindegyik gépházba teszel egy kisebb TNT-t, hogyha netalántán felnyílik (egészen véletlenül) a ház, akkor alapból robban :))))

Én meg voltam egy iskolában, ahol a vírusok miatt (jah, win, bocs') semmi sem működött rendesen. Gondoltam, felvetem nekik a linuxot, de végül is hagytam a fenébe a dolgot.

Nos szerintem rövidre zárható a dolog.
Ajánlom figyelmedbe a "Linux az oktatásban" rendezvénysorozatot, ahol Linuxos ismeretekre tehetsz szert. Miután ezekkel rendelkezel, akkor bizonyos észrevételeket jogosan tehetsz már, nem úgy, hogy hőbörgésnek, flame keltésnek tűnjön. Ha megnézed a szakma nagyjait, ők sosem nyilatkoznak ilyen "vad" stílusban. Szerénység, alázat és sok sok tanulás és gondolkodás.
A rendezvénysorozat lapját eléred a http://lok.ini.hu címen.
Várhatóan ősszel lesz új rendezvény.

Üdv: Muszasi

Talán át lehetne írni a topic tárgyát, nem? Azt hittem, valami új dolog.

[quote:5ec15b20b4="muszashi"] Ha megnézed a szakma nagyjait, ők sosem nyilatkoznak ilyen "vad" stílusban. Szerénység, alázat és sok sok tanulás és gondolkodás.

A szakma "nagyjait" általában nem izgatja, MS vagy Unix, ők gazdagok akarnak lenni / maradni... Csak a szegény ember ideológizálja meg a dolgokat. A szakmai nagyjai általában a saját területüket akarják fejleszteni, ehhez meg kell a konkurencia jóindulata is, a túl nagy összeveszés nem ildomos. De ez nem szerénység (hahaha!) hanem a pénz szentháromsága (pénz, pénz, pénz).
A sok tanulás... Ha vezető akarsz lenni, csak végezz el egy önbutító egyetemet, és nyomulj, ezt látom. A sokat tanultak meg végzik a valódi munkát.

Csigaa, ez nem bug, hanem alapbeallitas.
A rendszergazda dolga, hogy jelszot tegyen telepites utan oda,
ahova kell. A grub, lilo is ide tartozik. No meg az egyeb boot media
letiltasa, ill. BIOS jelszo beallitasa ha szukseges.
Ez kb. annyira bug, mintha nem adott volna jelszot a rootnak.
De szerintem ezt a topicot be kellene fejezni, mielott atmegy
az "alternativ" rendszerek kopkodesebe :) (Mint altalaban...)

[quote:54352448ed="drastik"]
elarulom neked hogy a unix iranyelvekkel nem ellentetes az hogyha fizikailag le tudsz ulni egy gep ele akkor meg tudd torni

Úgy bizony!

De amióta rinygyózék is unix "iranyelveket" követnek, azota náluk is van ilyen feature.
Aki meg nem tudna a titkot: duplaf8biztonsag:)