Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 25.10.2008, 18:10  postituse pealkiri:  Kontrolli oma root'i kaitset (arutelu)  

Üks väike asi, mida avastasin, et kuigi sudo õigus on lihtkasutajalt ära võetud, saab ta su 'd millegipärast ikka kasutada.
See on ubuntus.

Ma ei tea, mis on teistel distrodel, kuid
õnneks scponly asendab bash'i küll - nendele, kellel administraatori õigusi ei ole vaja:

Täpsemalt siit!

freebsd'l oli su kaitseks wheel'i mitte andmine lihtkasutajale..

ma ei tea, mis aitab su ' eemaldamine linuxis... ?




Viimati muutis midnight 25.10.2008, 21:38; muudetud 1 kord
KristjanS
Vana Pingviin
Vana Pingviin


Vanus: 36
Liitunud: 29.12.2006
Postitused: 419

Distributsioon: Debian
blank.gif
postituspostitatud: 25.10.2008, 18:42  postituse pealkiri:  (teema puudub)  

Ubuntus saab su-d kasutada? Mis nipiga?

_________________
Ubuntu Brainstorm: Have a device manager
Seadmehalduriga peaks saama jälgida riistvara, juhtprogrammi vahetada, ning vastavalt juhtprogrammile seadistusi muuta.

imre
Vana Pingviin
Vana Pingviin



Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 25.10.2008, 18:58  postituse pealkiri:  (teema puudub)  

sudo passwd root

_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.

wk
Vana Pingviin
Vana Pingviin



Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
estonia.gif
postituspostitatud: 25.10.2008, 20:24  postituse pealkiri:  (teema puudub)  

Võtaks pisut hoogu maha äkki. Midnighti tekst on paras puder ja teised takkajärgi. su ei ole ainult root-kasutajana toimetamise vahend, see on suvalise teise kasutajana toimetamise vahend:
man su kirjutas:
The su command is used to become another user during a login session. Invoked without a username, su defaults to becoming the superuser.

Lisaks tahaks kõigutada seda levinud müüti "Ubuntus ei ole rootu". Käsuga
Kood:
sudo su -
saab vastavaid sudo-õigusi omav kasutaja kohe root-kesta ja teha sääl kõike, mida root. Kui kehtestada siis parool (või teha nagu Imre pakkus), siis saab edaspidi ka Ubuntus otse root-kasutajana sisse logida.

_________________
Kõike hääd,
WK

midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 25.10.2008, 21:05  postituse pealkiri:  (teema puudub)  

Mina võtan kui su 'd käsuna ikka..
Antud juhul olin ma oma administratiivsel kontol vahetanud ära ubuntu root parooli käsuga:
sudo passwd root

Seejärel olin teinud ühe konto ilma sudo õigusteta, vaikimisi ubuntu seda teeb..

Seejärel läksin sellesse kontosse ssh kaudu.
sudo õigusi ei ole, kuid su töötas.

Kräkkeriga skaneerisin kasutaja root'i - siis piiratud konto kaudu.
Sain parooli ja käivitasin käsu:
su
ja sisestasin parooli.
Sain administratiivsed õigused.

Nüüd pean proovima, et kas saab ka selles sudo õiguseta kontos ka sukräkkerit kasutada kasutaja enda kodukataloogist käivitades.

Praegult oli kräkker enne administratiivselt paigaldatud.

Nii - kui lihtkasutaja vedas oma kataloogi sucrack'i ja käivitas selle:

./sucrack -w 20 -u root -rl AFLafld dict.txt

dict.txt on siis paroolilist-kogumik.

skaneerib ta juurde kontot ning õnnestumise korral saab piiratud kasutaja su kaudu tegutseda.


wk
Vana Pingviin
Vana Pingviin



Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
estonia.gif
postituspostitatud: 25.10.2008, 21:55  postituse pealkiri:  (teema puudub)  

Ja selle jutu mõte? Samahästi võid sudo-õigusteta kasutajana kräkkida administraatoriõigustega kasutaja parooli, siis teha "su - adminiga_kasutaja" ja säält edasi juba root-kasutajaks. Kõik ühe parooliga.

Turvalisus on pigem parooli tugevuses, ligipääsus süsteemsetele vahenditele ja mitmetes muudes turvaküsimustes, aga mitte sudo/su lubamises. 'su'-ga otse root-kasutajaks minemiese tõkestamist ja root-kasutaja parooli lukustamist tuleb võtta kui esmast kaitset kasutaja enda vastu, et ta endale omast lollusest jalga ei tulistaks.

_________________
Kõike hääd,
WK

midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 25.10.2008, 21:55  postituse pealkiri:  (teema puudub)  

Toon eraldi välja ühe asja:

Seda juhul kui sshd teenused on lisakaitseta, sinu sõbrad on usaldamatud, sõprade kontodel on õigus kasutada bash või sh shelli.


wk - keegi ei saa sinu juurt ning administraatori kontosi häkkida, kui nendel puudub õigus paljudele käskudele.
ärme hakkame rääkima arvutile füüsiliselt ligipääsemisele vaid- konto kaudu virtuaalselt..

Õpi piiratud kesta kasutamine selgeks wk!!


hr.john
Pingviini aktivist
Pingviini aktivist



Liitunud: 12.06.2006
Postitused: 181
Asukoht: Eesti

kiribati.gif
postituspostitatud: 25.10.2008, 22:17  postituse pealkiri:  (teema puudub)  

midnight sina logi hoopis chroot keskonda ja ära tee sinna mingit root kasutajat. Saad palju rahulikumalt magada. Head ööd, kontrollige hommikul kas keegi kellad kah taha keeras.


antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 25.10.2008, 22:46  postituse pealkiri:  (teema puudub)  

Ma soovitaks süsteemi kraanide kinnikeeramiseks kasutada ikkagi olemasolevaid riistu nagu MAC näiteks. Ubuntu kasutab SELinuxit?


mihkel
Vana Pingviin
Vana Pingviin



Liitunud: 16.04.2006
Postitused: 1284

Distributsioon: Fedora/Centos
estonia.gif
postituspostitatud: 25.10.2008, 23:16  postituse pealkiri:  (teema puudub)  

Minuteada kasutab ainult fedora SELinuxit vaikimisi. Ja ka siis lükkavad adminnid ta välja Razz
Kui mälu ei peta, siis ubuntus on vaikimisi sisse lükatud apparmor, aga see vist tegeles ainult cupsi poliisiga (siin võin vabalt ka eksida).

Aga seda wheel grupi saab ka linuxi all kasutada. Tuleb lihtsalt PAM-le üht-teist selgeks teha.
Näiteks /etc/pam.d/su
lisada
Kood:

auth        requisite   pam_wheel.so group=wheel debug

Kindlasti tutvuge dokuskiga. Muidu võib juhtuda, et keegi ei saa juurika õigustes tegutseda.

Põhjus, miks linux (või tegelikult GNU) wheel gruppi ei harrasta, peitub kuskil Stallmanni ajukäärudes.


Why GNU `su' does not support the `wheel' group
===============================================

(This section is by Richard Stallman.)

Sometimes a few of the users try to hold total power over all the
rest. For example, in 1984, a few users at the MIT AI lab decided to
seize power by changing the operator password on the Twenex system and
keeping it secret from everyone else. (I was able to thwart this coup
and give power back to the users by patching the kernel, but I wouldn't
know how to do that in Unix.)

However, occasionally the rulers do tell someone. Under the usual
`su' mechanism, once someone learns the root password who sympathizes
with the ordinary users, he or she can tell the rest. The "wheel
group" feature would make this impossible, and thus cement the power of
the rulers.

I'm on the side of the masses, not that of the rulers. If you are
used to supporting the bosses and sysadmins in whatever they do, you
might find this idea strange at first.


priit
Vana Pingviin
Vana Pingviin


Vanus: 40
Liitunud: 04.08.2005
Postitused: 521
Asukoht: Tartu
Distributsioon: CentOS / OS X
estonia.gif
postituspostitatud: 26.10.2008, 09:18  postituse pealkiri:  (teema puudub)  

Mul on tunne, et midnight ei saa eriti aru, mille jaoks käsud sudo ja su on loodud.

sudo (super user do) - kogu selle käsu mõte on see, et saad mingeid asju teha root-kasutaja õigustes, kuid oma parooliga
su (substitute user) - ilma väljalogimata sisselogimine teise kasutajana. su eesmärk ei ole ainult root-kasutajaks end muuta.


antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 26.10.2008, 10:16  postituse pealkiri:  (teema puudub)  

priit kirjutas:
Mul on tunne, et midnight ei saa eriti aru, mille jaoks käsud sudo ja su on loodud.

sudo (super user do) - kogu selle käsu mõte on see, et saad mingeid asju teha root-kasutaja õigustes, kuid oma parooliga
su (substitute user) - ilma väljalogimata sisselogimine teise kasutajana. su eesmärk ei ole ainult root-kasutajaks end muuta.


Väike näide sudo kohta. Kommentaariks niipalju, et ära on toodud piiratud arv käske mida sudo kasutajad saavad kasutada.

Kood:
User_Alias     WEBMASTERS = kastuaja1, kkasutaja2, kasutaja2
Cmnd_Alias     KASK1 = /usr/local/sbin/arping, /bin/chmod, /usr/local/sbin/htpasswd /sbin/route /sbin/ifconfig
WEBMASTERS       ALL = KASK1


Kood:
$ sudo systat

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

Password:
Sorry, user antik is not allowed to execute '/usr/bin/systat' as root on tratataa.nihhujaa.ee.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 26.10.2008, 11:53  postituse pealkiri:  (teema puudub)  

mihkel kirjutas:
Minuteada kasutab ainult fedora SELinuxit vaikimisi. Ja ka siis lükkavad adminnid ta välja Razz


väga vale mõte on see välja lülitada.. alates red hat/centos versioonist 5 on SELinux väga viisakalt kasutatav, tuleb ainult manuali lugeda ja kinni keerata ei soovita seda eriti keegi..

kui süsteem hakkab nö käru keerama, siis piisab kui vaadata auditi logisse ja juba on näha, miks süsteem sind kiusab ja kuidas selle vastu saada.. Smile

ja see unize su teema, see on lauslollus, kui on root parool tugev ja korralik, siis niisama sa seda juba lahti ei haruta.. pole mõtet tühjast kohast paanikat tekitada, ime, et sa jälle enda foorumisse ei viidanud, nagu seda hv foorumis tegid..

_________________
Image Image Image

midnight

Vana Pingviin
Vana Pingviin



Liitunud: 09.08.2007
Postitused: 733

Distributsioon: Ubuntu 8.04
estonia.gif
postituspostitatud: 26.10.2008, 12:38  postituse pealkiri:  (teema puudub)  

Ma kahtlen sander85 su arusaamades root paroolitugevuses- mida võimsam arvut sul on, seda kiiremini programmidel on jõudlust- samuti ka sucrack ja teised töötavad kiiremini:

Testing CPU-only core 'Standard CPU'... 10000 PMKs in 24.87 seconds: 402.16 PMKs/s Testing GPU core 'Nvidia CUDA'... 10000 PMKs in 6.63 seconds: 1509.22 PMKs/s

Ma arvan, et ma jätkan seda missiooni teavitamast ohtudest- järgmine teema ongi WPA ja WPA2 turvalisus üldse.

Ok, edaspidi oma kodukal..


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group