| Autor |
Sõnum |
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
Üks väike asi, mida avastasin, et kuigi sudo õigus on lihtkasutajalt ära võetud, saab ta su 'd millegipärast ikka kasutada.
See on ubuntus.
Ma ei tea, mis on teistel distrodel, kuid
õnneks scponly asendab bash'i küll - nendele, kellel administraatori õigusi ei ole vaja:
Täpsemalt siit!
freebsd'l oli su kaitseks wheel'i mitte andmine lihtkasutajale..
ma ei tea, mis aitab su ' eemaldamine linuxis... ?
|
|
|
|
Viimati muutis midnight 25.10.2008, 21:38; muudetud 1 kord
|
|
|
   |
KristjanS
Vana Pingviin
Vanus: 36
Liitunud: 29.12.2006
Postitused: 419
Distributsioon: Debian
|
|
| Ubuntus saab su-d kasutada? Mis nipiga?
|
|
|
|
_________________
Ubuntu Brainstorm: Have a device manager
Seadmehalduriga peaks saama jälgida riistvara, juhtprogrammi vahetada, ning vastavalt juhtprogrammile seadistusi muuta.
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
|
_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
wk
Vana Pingviin
Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
|
|
Võtaks pisut hoogu maha äkki. Midnighti tekst on paras puder ja teised takkajärgi. su ei ole ainult root-kasutajana toimetamise vahend, see on suvalise teise kasutajana toimetamise vahend:
| man su kirjutas: | | The su command is used to become another user during a login session. Invoked without a username, su defaults to becoming the superuser. |
Lisaks tahaks kõigutada seda levinud müüti "Ubuntus ei ole rootu". Käsuga saab vastavaid sudo-õigusi omav kasutaja kohe root-kesta ja teha sääl kõike, mida root. Kui kehtestada siis parool (või teha nagu Imre pakkus), siis saab edaspidi ka Ubuntus otse root-kasutajana sisse logida.
|
|
|
|
_________________
Kõike hääd,
WK
|
|
|
|
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
Mina võtan kui su 'd käsuna ikka..
Antud juhul olin ma oma administratiivsel kontol vahetanud ära ubuntu root parooli käsuga:
sudo passwd root
Seejärel olin teinud ühe konto ilma sudo õigusteta, vaikimisi ubuntu seda teeb..
Seejärel läksin sellesse kontosse ssh kaudu.
sudo õigusi ei ole, kuid su töötas.
Kräkkeriga skaneerisin kasutaja root'i - siis piiratud konto kaudu.
Sain parooli ja käivitasin käsu:
su
ja sisestasin parooli.
Sain administratiivsed õigused.
Nüüd pean proovima, et kas saab ka selles sudo õiguseta kontos ka sukräkkerit kasutada kasutaja enda kodukataloogist käivitades.
Praegult oli kräkker enne administratiivselt paigaldatud.
Nii - kui lihtkasutaja vedas oma kataloogi sucrack'i ja käivitas selle:
./sucrack -w 20 -u root -rl AFLafld dict.txt
dict.txt on siis paroolilist-kogumik.
skaneerib ta juurde kontot ning õnnestumise korral saab piiratud kasutaja su kaudu tegutseda.
|
|
|
|
|
|
|
|
wk
Vana Pingviin
Liitunud: 24.10.2007
Postitused: 1133
Asukoht: Tallinn, vahel Vastseliina vald
Distributsioon: Debian, Kubuntu
|
|
Ja selle jutu mõte? Samahästi võid sudo-õigusteta kasutajana kräkkida administraatoriõigustega kasutaja parooli, siis teha "su - adminiga_kasutaja" ja säält edasi juba root-kasutajaks. Kõik ühe parooliga.
Turvalisus on pigem parooli tugevuses, ligipääsus süsteemsetele vahenditele ja mitmetes muudes turvaküsimustes, aga mitte sudo/su lubamises. 'su'-ga otse root-kasutajaks minemiese tõkestamist ja root-kasutaja parooli lukustamist tuleb võtta kui esmast kaitset kasutaja enda vastu, et ta endale omast lollusest jalga ei tulistaks.
|
|
|
|
_________________
Kõike hääd,
WK
|
|
|
|
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
Toon eraldi välja ühe asja:
Seda juhul kui sshd teenused on lisakaitseta, sinu sõbrad on usaldamatud, sõprade kontodel on õigus kasutada bash või sh shelli.
wk - keegi ei saa sinu juurt ning administraatori kontosi häkkida, kui nendel puudub õigus paljudele käskudele.
ärme hakkame rääkima arvutile füüsiliselt ligipääsemisele vaid- konto kaudu virtuaalselt..
Õpi piiratud kesta kasutamine selgeks wk!!
|
|
|
|
|
|
|
|
hr.john
Pingviini aktivist
Liitunud: 12.06.2006
Postitused: 181
Asukoht: Eesti
|
|
| midnight sina logi hoopis chroot keskonda ja ära tee sinna mingit root kasutajat. Saad palju rahulikumalt magada. Head ööd, kontrollige hommikul kas keegi kellad kah taha keeras.
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| Ma soovitaks süsteemi kraanide kinnikeeramiseks kasutada ikkagi olemasolevaid riistu nagu MAC näiteks. Ubuntu kasutab SELinuxit?
|
|
|
|
|
|
|
|
mihkel
Vana Pingviin
Liitunud: 16.04.2006
Postitused: 1284
Distributsioon: Fedora/Centos
|
|
Minuteada kasutab ainult fedora SELinuxit vaikimisi. Ja ka siis lükkavad adminnid ta välja 
Kui mälu ei peta, siis ubuntus on vaikimisi sisse lükatud apparmor, aga see vist tegeles ainult cupsi poliisiga (siin võin vabalt ka eksida).
Aga seda wheel grupi saab ka linuxi all kasutada. Tuleb lihtsalt PAM-le üht-teist selgeks teha.
Näiteks /etc/pam.d/su
lisada | Kood: | |
auth requisite pam_wheel.so group=wheel debug
|
Kindlasti tutvuge dokuskiga. Muidu võib juhtuda, et keegi ei saa juurika õigustes tegutseda.
Põhjus, miks linux (või tegelikult GNU) wheel gruppi ei harrasta, peitub kuskil Stallmanni ajukäärudes.
Why GNU `su' does not support the `wheel' group
===============================================
(This section is by Richard Stallman.)
Sometimes a few of the users try to hold total power over all the
rest. For example, in 1984, a few users at the MIT AI lab decided to
seize power by changing the operator password on the Twenex system and
keeping it secret from everyone else. (I was able to thwart this coup
and give power back to the users by patching the kernel, but I wouldn't
know how to do that in Unix.)
However, occasionally the rulers do tell someone. Under the usual
`su' mechanism, once someone learns the root password who sympathizes
with the ordinary users, he or she can tell the rest. The "wheel
group" feature would make this impossible, and thus cement the power of
the rulers.
I'm on the side of the masses, not that of the rulers. If you are
used to supporting the bosses and sysadmins in whatever they do, you
might find this idea strange at first.
|
|
|
|
|
|
|
 |
priit
Vana Pingviin
Vanus: 40
Liitunud: 04.08.2005
Postitused: 521
Asukoht: Tartu
Distributsioon: CentOS / OS X
|
|
Mul on tunne, et midnight ei saa eriti aru, mille jaoks käsud sudo ja su on loodud.
sudo (super user do) - kogu selle käsu mõte on see, et saad mingeid asju teha root-kasutaja õigustes, kuid oma parooliga
su (substitute user) - ilma väljalogimata sisselogimine teise kasutajana. su eesmärk ei ole ainult root-kasutajaks end muuta.
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
| priit kirjutas: | | Mul on tunne, et midnight ei saa eriti aru, mille jaoks käsud sudo ja su on loodud.
sudo (super user do) - kogu selle käsu mõte on see, et saad mingeid asju teha root-kasutaja õigustes, kuid oma parooliga
su (substitute user) - ilma väljalogimata sisselogimine teise kasutajana. su eesmärk ei ole ainult root-kasutajaks end muuta. |
Väike näide sudo kohta. Kommentaariks niipalju, et ära on toodud piiratud arv käske mida sudo kasutajad saavad kasutada.
| Kood: | | User_Alias WEBMASTERS = kastuaja1, kkasutaja2, kasutaja2
Cmnd_Alias KASK1 = /usr/local/sbin/arping, /bin/chmod, /usr/local/sbin/htpasswd /sbin/route /sbin/ifconfig
WEBMASTERS ALL = KASK1
|
| Kood: | | $ sudo systat
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
Password:
Sorry, user antik is not allowed to execute '/usr/bin/systat' as root on tratataa.nihhujaa.ee.
|
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
|
|
midnight
Vana Pingviin
Liitunud: 09.08.2007
Postitused: 733
Distributsioon: Ubuntu 8.04
|
|
Ma kahtlen sander85 su arusaamades root paroolitugevuses- mida võimsam arvut sul on, seda kiiremini programmidel on jõudlust- samuti ka sucrack ja teised töötavad kiiremini:
Testing CPU-only core 'Standard CPU'... 10000 PMKs in 24.87 seconds: 402.16 PMKs/s Testing GPU core 'Nvidia CUDA'... 10000 PMKs in 6.63 seconds: 1509.22 PMKs/s
Ma arvan, et ma jätkan seda missiooni teavitamast ohtudest- järgmine teema ongi WPA ja WPA2 turvalisus üldse.
Ok, edaspidi oma kodukal..
|
|
|
|
|
|
|
|
|
|
