su -

Linux-kezdő

Sziasztok!

Vitatkoztunk itt a kollégákkal egyet, hogy biztonsági szempontból helyes-e ha a sumínuszt vagy a
sudosumínuszt jelszó nélkül használjuk. Én nem nagyon tudok olyan esetre gondolni, amikor egy
plusz jelszó beiktatásával sokkal nagyobb biztonságot érnénk el.
Végülis egyetlen, kellően bonyolult jelszó SSH-n keresztül való használat esetén hogyan lopható el?
Szerintem sehogy... de lehet hogy én nem vagyok elég okos.

Ha viszont a jelszót meg tudjuk védeni, akkor egy második csak az ember életét nehezíti meg.

Vélemény?
Esetleg egyéb technika root jogosultságok védelmére?
D.

  • 1225 megtekintés

( selli | 2006. 05. 11., cs – 14:38 )

azert en el tudok kepzelni. pl otthagyod a konzolt valaki odaul es sudo-val egybol root lesz. persze annak ugy kell aki otthogy barmilyen konzolt lezaras nelkul

( Dolphy | 2006. 05. 11., cs – 15:05 )

Egyre tudok gondolni, mondjuk egy idegen gépen használok egy putty-t és mondjuk véletlenül keylogger van rajta.
De ha jelszavas a root, akkor a keylogger azt is elkapja.

( korci | 2006. 05. 11., cs – 15:37 )

Csak gondolatébresztés, nyilván mindbe bele lehet kötni.

- Tfh sudo/su nem kér jelszót, ebben az esetben bármilyen process ami sudo/su-ra jogosult felhasználó nevében fut, root szintű kódot tud futtatni. Persze el lehet képzelni olyan ideális szervert, amiben nincsenek bugok, de olyat max a vasorrú bábának telepített Jancsika a mesében.
- Mi a helyzet például egy SSH exploittal? Vagy mondjuk ha van hiba az RSA/DSA algoritmus implementálásában, és kiderül, hogy törhető?

Én jobban alszom a tudattal, hogy nem csak 1 jelszót kell megtörniük, ráadásul idő ez is, és jobbak az esélyek, hogy elkapható a behatoló még mielőtt sikerülne neki root-tá válnia. Biztonságból szerintem sosem elég. Nyilván vannak profik akik ellen nincs mit kezdeni, de ha bonyolult a biztonsági rendszered, azzal kiszűrheted azokat a crackereket, akik csak erőforrás miatt törnek (találnak könnyebb célpontot).

... hogy eljussunk oda, ahova emberi kéz még nem tette be a lábát.

( zeller | 2006. 05. 11., cs – 16:20 )

A su - önmagában, ha n>1 ember csinálhatja, közös ló, melynek a háta közismerten túrós, emiatt általában nem javasolt a használata ott, ahol a biztonság és a letagadhatatlanság fontos.
A sudo su - avagy a sudo su - foo megintcsak a "Ki, milyen parancsot adott ki?/Ki adta ki az xxxx parancsot?" kérdésre nem ad választ...

Ami jó szokott lenni, az a korrekten behangolt sudo környezet bedrótozott parancsokkal -- ekkor nyugodtan el lehet hagyni a jelszókérést -- a keylogger problémára is gondolva (ssh bejelentkezés, mondjuk pendrive-on lévő kulcsot használva, mely kulcsnak ugyan le lehet keylogolni :) a passphrase-ét, de a kulcs elrakása nélkül nem ér semmit vele a logger...).

Ja, és a sudo mellett a suedit-et is alaposan körbe kell járni, mit, milyen editorral, hogyan szerkeszthet (szerkeszti root-joggal az "a" fájlt, aztán save as "rosszatcsinaltamlogja.log" -- a sudo logja ne legyen a lokális gépen, hanem egy másikon, ahol az itteni sudo-joggal bírók max. sima userek, sudo jog nélkül és viszont)

>A sudo su - avagy a sudo su - foo megintcsak a "Ki, milyen parancsot adott ki?/Ki adta ki az xxxx parancsot?" kérdésre nem ad választ...

.shrc-be be kell tenni, h külön history-t csináljon uid alapján.
Persze azt szerkesztheit a tulaj, de ha nem töröl belőle, akkor el lehet különíteni ki mit adott ki.

Ha szerkeszthet a user valamit, akkor megette a fene... A logolás azért köll, hogy ha valakinek szét kell rúgni a zrityóját (azért, ami történt), akkor lehessen tudni, ki az a valaki... Ha tudja, hogy amit csinál, azért zrityószétrúgás jár, akkor bele (meg vissza) fog szerkeszteni...

[offtopic]
Kedves zeller!

Annak a közös lónak a háta nem, legfeljebb a kis f@sza túrós! :-)
A közös lónak túros a háta. A túr szláv eredetű főnév, amely sebet, fekélyt, gennyes kelést jelent. A közmondás szerint tehát sebes lesz a többek által is hajszolt szerencsétlen ló háta, a lószerszám vagy nyereg dörzsölésétõl.

Szabi
[/offtopic]