| ← Ноябрь 2005 → | ||||||
|
7
|
13
|
|||||
|---|---|---|---|---|---|---|
|
16
|
||||||
|
27
|
||||||
За последние 60 дней ни разу не выходила
Сайт листа:
http://www.linuxrsp.ru
Открыт:
04-03-2004
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.bsd.all-list@subscribe.ru
Адрес
модератора: comp.soft.bsd.all-owner@subscribe.ru
под
дело наврное в том, что в настройках безопасности
проставлена опция, запрещаяющая рут-логин
если не ошибаюс, для ее всключения требуется в /etc/ttys изменить
secure на insecure
Соответственно, для выключения... в обратном порядке ;)
понятно,
потому что ходишь ты, скорее всего, телнетом
и пароль передаешь в открытом виде
и получить его снифером не сможет только ленивый
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2362; Возраст листа: 627; Участников: 800
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/478141
на прямую из под рута?
Вы меня наверно неправильно поняли. Я не говорю о том, что лучше бы сделали так,
что бы можно было бы конеститься напрямую рутом через телнет. Я говорю, о том,
что появлется опасность доступиться удалённо, если пароль попал к злоумышленнику.
А если не существует юзеров, которые входят в группу wheel (т.е. пользователи,
которые имеют право использовать su), то и не было бы возможности зайти на машину
удалённо, даже если бы пароль был бы известен злоумышленнику. Ну, это так к примеру,
что иметь юзера, которые может использовать su - это менее секьюрно.
Так почему, вообще, нужно использовать su вместо прямого ввода пароля? Имеется
в виду не удалённо, а через обычную консоль. Почему создатели OpenBSD так решили?
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2367; Возраст листа: 627; Участников: 800
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/478282
сделали так,
том,
злоумышленнику.
пользователи,
машину
к примеру,
Имеется
решили?
потому что нужно узнать и пользователя и пароль
в случае рута пользователь уже известен
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2370; Возраст листа: 627; Участников: 800
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/478328
на прямую из под рута?
Так в любом случае существует root, а пользователя можно найти в /etc/passwd.
Хотя здесь труднее будет, так как нужно знать два пароля. Но опасность войти
удалённо гораздо существенее, чем локально. Локально можно запереть сервер в
комнату под ключ и это безопаснее.
ПОЯВИЛСЯ НОВЫЙ РЕЛИЗ OpenBSD 3.8, как вы знаете.
В нём в файле /root/.login больше не прописано, что лучше пользуйте команду su.
И это больше меня не конфьюзит. Хотя очень интересно было бы узнать почему в
OpenBSD 3.7 это имело место.
Ещё в OpenBSD 3.8 сделали, что бы в csh шелле можно было использовать стрелочки
для навигации по истории в командной строки и кнопочка TAB заменила ESC - это
очень удобно и более привычно. Это мои первые впечатления.
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2382; Возраст листа: 628; Участников: 799
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/478802
о
на
в
su.
в
Извините, за ошибки!
На самом деле там по умолчанию изменили шелл с csh на ksh. И когда логинишься
рутом появляется надпись, которая указывает на afterboot(8) и в ней уже указано,
что лучше не логиниться рутом, а использовать su. А вот почему так, там не объясняется
:-(
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2385; Возраст листа: 628; Участников: 799
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/478826
Почему лучше использовать su:
Дабы не подвергать риску ОС, работая в ней. Т. к. права root нужны не так
уж часто. Софт обычно запускается и от простого пользователя.
А вбивать su можно, когда конкретно нужны повышенные привилегии.
С уважением,
Антонов Александр
Alexander Bubnov <ab_fat***@b*****.ru> написано 22.11.2005 12:42:40:
бы
говорю,
зайти
секьюрно.
пароля?
войти
сервер
команду
почему
логинишься
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2388; Возраст листа: 628; Участников: 799
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/478934
Здравствуйте, Alexander.
Вы писали 21 ноября 2005 г., 10:49:08:
Во-первых, не беспокойтесь о защите служебных учетных записей, если не защищена
учетная
запись root. В большинстве систем у учетной записи root есть пароль.
Использование пароля root опасно всегда. Это не означает, что вы должны удалить
пароль. Пароль почти всегда необходим для доступа по консоли. Но это означает,
что вы должны сделать невозможным использование пароля не из консоли или может
быть
даже с помощью команды su(1). Например, убедитесь, что псевдотерминалы в файле
/etc/ttys перечислены с параметром insecure, что делает невозможным вход на них
под root напрямую с помощью telnet или rlogin.
ето выдержка из хендбука по FreeBSD. а так как OpenBSD позиционируется
в первую очередь как безопасная система (уровень безопасности тут
поставлен во главу угла), то соответственно многие опции,
пердусмотренные во фре как возможные для применения повышения уровня
безопасности, в OpenBSD включены по умлочанию.
А смысл етого один: чтобы во время логина рута его пароль не
утянули...особенно если он логинится на сервере удаленно через
терминал )
удал
них
Это лишь объясняет, что удалённо опасно конеститься рутом. Видимо мой вопрос
был не корретно задан. Смотрите мое предыдущее письмо, там я написал более понятно
вопрос.
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2368; Возраст листа: 627; Участников: 800
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/478285
Предположим, что еще и для того, чтобы случайно не сделать ничего лишнего. Если
раз в сто лет нужно сделать что-то от рута, то можно будет использовать команду
su, а в обычное время, если все отлично работает, нет необходимости работать
от имени рута, соответственно и работать лучше под своей учеткой. Вдруг у Вас
случайно руки сами наберут что-то страшное. :)
И еще одна мысль - предположим, что в системе несколько пользователей. Если для
важных дел все будут логиниться сразу под рутом, то по логам нельзя будет потом
определить, кто что сделал. А если каждый будет использовать su, то это сделать
будет проще.
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2389; Возраст листа: 628; Участников: 799
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/479118
volk пишет:
Если
Аппсолютно согласен! Тоже считаю сабж вопросом скорее психологическим,
нежели практическим, при чем не только для OpenBSD, но и для любой
другой оси (даже для мелкомягких, хотя там это и проблематично).
У меня дома Фряха стоит в качестве десктопа и под рута оставлена всего
одна консоль, при чем раскрашенная в такой мерзкий красный цвет, что
находиться в ней долее 10-ти секунд просто невозможно (взял пример с
KDE). Остальные консоли в ttys выставлены, как insecure. Да и по 'su'
рекомендую долго не сидеть... Не долго и 'rm -Rf /*' ввести "от
усталости"... ;) Это шутка, конечно, но с рутом шутить не стоит. Помните
рекламу, когда Бог промахивается кетчупом мимо сэндвича, а до земли
метеориты долетают?.. ;) Юзер должен ПРИНЯТЬ РЕШЕНИЕ стать "Богом", и
оставаться им минимально-необходимое время.
С уважением, BogDaN.
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2393; Возраст листа: 629; Участников: 798
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/479296
Alexander Bubnov wrote:
понятно
Один пример из жизни.
Скрипт на перле, рекомбинирующий неким образом содержимое файлов в папке.
Одна ошибка, в одном символе.
По запарке запуск из-под рута...
Это было давно =) но я до сих пор очень аккуратен в использовании рута.
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2597; Возраст листа: 715; Участников: 829
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/516970
МЮ ОПЪЛСЧ ХГ ОНД ПСРЮ?
ХГ
ММН
мН, БЯ ФЕ ОНВЕЛС Б МЮЯРПНИЙЮУ АЕГНОЮЯМНЯРХ ОНЯРЮБКЕМЮ РЮЙЮЪ НОЖХЪ, ОНМЪРМН,
ВРН ЯНГДЮРЕКХ ПЕЬХКХ, ВРН РЮЙ МЮД ФМЕЕ.
мН ОНВЕЛС НМХ РЮЙ ПЕЬХКХ? бНР Б В Л БНОПНЯ.
-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 2360; Возраст листа: 627; Участников: 800
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/478134