su

[DJ Art]

On Tuesday 02 November 2004 16:41, comzeradd wrote:
> γιατί θεωρείτε πιο ασφαλές να μπάινει κάποιος με su παρά απευθείας
> σαν root?

Εξαρτάται πώς είναι αυτό το απευθείας:

1) Αν μπαίνεις απευθείας με ssh σαν root σε ένα μηχάνημα που είναι 
μόνιμα στο δίκτυο, είναι κακό διότι αν κάποιος άλλος μαντέψει το root 
password μπορεί κι αυτός να κάνει login.
Ενώ αν μπαίνεις πρώτα ως χρήστης, θα πρέπει (θεωρητικά πάντα) να 
μαντέψει 2 passwords αντί για ένα.

Επιπλέον, αν μιλάμε για μηχάνημα με πολλά άτομα που πρέπει να μπαίνουν 
ως root, κάνοντας su, αυτό καταγράφεται στα logs, οπότε θα είναι πιο 
εύκολο στον administrator να βρεί ανά πάσα ώρα και στιγμή ποιός χρήστης 
μπήκε ως root και από πού (παρά να βλέπει στα logs ότι έκανε login o 
root από μια κουφή non-reversed-looked-up IP).

2) Όταν έχεις ένα desktop σύστημα, δεν συνίσταται γιατί μπορεί κάποιο 
δικτυακό πρόγραμμα (π.χ. ο browser ή ο irc client) να έχουν τρύπα 
ασφαλείας, επομένως αυτός που θα την εκμεταλλευτεί, θα αποκτήσει με τη 
μία full πρόσβαση στο σύστημα.

Ενώ αν τρέχεις τον irc client ως χρήστης και κάποιος εκμεταλλευτεί τρύπα 
ασφαλείας, δεν θα καταφέρει να σου κάνει μεγάλη ζημιά γιατί ως χρήστης 
δεν θα έχει full δικαιώματα.

Για παράδειγμα, το xchat αρνείται να τρέξει ως root.


Και πλέον που το Linux έχει γίνει πολύ τρα-λα-λα-σύστημα και οι 
developers της κάθε multimedia εφαρμογής έχουν αρχίσει να γράφουν το 
software τους υπό την επίρροια μεγάλης ποσότητας αλκοόλ (όπως 
σαμπάνιας), θα βρείς τρύπες ασφαλείας μέχρι και στο κωλο-component της 
υποβιβλιοθήκης-dependency που χρησιμοποιεί μια άλλη υποβιβλιοθήκη του 
KDE και μέσα σε χρόνο dt πάσχεις από ασφάλεια, οπότε ......... κλάφτα.

(εδώ μερικοί θα σπεύσουν να πούν πως γινόμαστε Windows στη θέση των 
Windows, αλλά εγώ δεν το νομίζω .... πάντα έχουμε το πέπλο του open 
source και το επιχείρημα του ότι τα patches βγαίνουν πολύ πιο γρήγορα)

Anyway ....
-- 
Kyritsis Athanasios <djart at linux.gr>
Q: Εθελοντής ή θεατής ?
A: Ιδιοκτήτης! ;-)