SDB:Root and security, login in over the net

Şuraya atla: kullan, ara


İstek:

Yönetici (root) ve üç önemli güvenlik konusu

root hesabına ağ üzerinden doğrudan ulaşılamayabilir

root hesabı telnet, rsh ve rlogin ile diğer makinelerden doğrudan ulaşılabilir olmamalıdır. Sebep: Aksi halde, üzerinde crack (kırıcı) yardımı ile root hesabı kırılabilir. Ancak, olası bir saldırgan kırabilmek için, öncelikle normal bir kullanıcı olarak giriş yapmalıdır, buna göre iki engel daha aşılmalıdır. Öncelikle sisteme kırıcı (crack) yüklü olması gerekir ve ikinci olarak içeriden bir saldırı hemen belirlenmelidir. (Crack (kırıcı) şifre denemeleri ve kırmak için bir programdır.) Bunun yanında, telnet'teki şifre, Eternet'te en azından bir kere şifrelenmiş olarak gitmektedir. İlgili ağ programlarıyla Eternet'teki diğer sistemler, bu tür veriyi TCP/IP paketlerinden az çok kolaylıkla süzebilirler.

Bu güvenlik adımı, aynı zamanda NSF'nin gönderilen bölümleri için de geçerlidir: /etc/exports'da her zaman açıkça root_squash seçeneğini seçiniz. Bununla ilgili daha çok bilgiyi exports (gönderimler) el kitabı sayfasında bulacaksınız.

root (yönetici)'ye yerel uçbirim yerine diğerlerinde de izin verirseniz, lütfen login(5) el kitabı sayfasına bakınız (man 5 login ile çağırın).

Yönetici yolu . 'yı içermemelidir

Sistem kullanıcısı root (yönetici)'nin kabuk değişkeni PATH (yol) `.' içermemelidir, ne başta ne de sonda. Nokta `.' son kullanılan dizin ve içerdiği kabuk program parçalarıyla programları için bir kısaltmadır. Bu tür programlar, başına ./ yazarak açıkça çağrılmalıdır.

Sebep: Normal bir kullanıcı, örneğin, /tmp/ veya kendi HOME (ev) dizininde ls adı ile

      	#!/bin/sh
      	cd /
      	rm -rf *

içeren bir program parçası oluşturduğunda, root (yönetici) istemeden tüm sistemi silebilir. Yine, PATH (yol) kabuk değişkeninde . sonda olmalıdır, kişi yazım hatalarından kaçınamayabilir ve yerel programı istemeden çağırabilir (örneğin, ls yerine, la). Bu tehlike, uygun bir şekilde, truva atı olarak tanımlanabilir.

root (yönetici) olarak çalışmaktan kaçının

Tüm kullanıcılar, sistemin kendisinde önemli işler yapılması gerekmediği sürece, root (yönetici) olarak çalışmaktan kaçınmalıdır.

Neden: Bir hata olması durumunun tehlikesi çok büyüktür ve root (yönetici) herşeyi yapabilir, gerçekten herşeyi, istenmese bile... Bu durumda istenmeyen emirler, ardı ardına uyarı yapılmadan çalıştırılır.

Bir müşteriden, uyarı olarak dikkate alınması gereken, özgün bir söz:

... şimdi, root (yönetici) olarak çalıştığım için, bir kaza başıma geldi. Herhangi bir ses alma umuduyla, yanlışlıkla "/dev/dsp" yerine "ls > /dev/hdb2" yazdım - ne yazık ki, /dev/hb2 benim diskteki root (yönetici) bölümüm.

Not: /dev/hb2 onun diskteki root (yönetici) bölümüydü. Ama, hain bir zevkle birlikte, en derin anlayışımızı da sunuyoruz ;-)

Kaynakça

  • Pratical UNIX Security (Pratik UNIX Güvenliği), Simson Garfinkel ve Gene Spafford. (O'Reilly Dizisi, ISBN 0-937175-72-2)
  • Essential System Administration (Gerekli Sistem Yönetimi), Æleen Frisch. (O'Reilly Dizisi, ISBN 1-56592-127-5)
  • Computer Security Basics (Bilgisayar Güvenliği Temelleri), Deborah Russell ve G.T. Gangemi Sr. (O'Reilly Dizisi, ISBN 0-937175-71-4)

SDB:root cannot execute certain programs

<keyword>root,point,path,security,login,rsh,telnet,nfs</keyword>