SDB:Root and security, login in over the net
İçindekiler
İstek:
Yönetici (root) ve üç önemli güvenlik konusu
root
hesabına ağ üzerinden doğrudan ulaşılamayabilir
root
hesabı telnet
, rsh
ve rlogin
ile diğer makinelerden doğrudan ulaşılabilir olmamalıdır. Sebep: Aksi halde, ağ üzerinde crack
(kırıcı) yardımı ile root
hesabı kırılabilir. Ancak, olası bir saldırgan kırabilmek için, öncelikle normal bir kullanıcı olarak giriş yapmalıdır, buna göre iki engel daha aşılmalıdır. Öncelikle sisteme kırıcı (crack) yüklü olması gerekir ve ikinci olarak içeriden bir saldırı hemen belirlenmelidir. (Crack
(kırıcı) şifre denemeleri ve kırmak için bir programdır.) Bunun yanında, telnet'teki şifre, Eternet'te en azından bir kere şifrelenmiş olarak gitmektedir. İlgili ağ programlarıyla Eternet'teki diğer sistemler, bu tür veriyi TCP/IP
paketlerinden az çok kolaylıkla süzebilirler.
Bu güvenlik adımı, aynı zamanda NSF'nin gönderilen bölümleri için de geçerlidir: /etc/exports
'da her zaman açıkça root_squash
seçeneğini seçiniz. Bununla ilgili daha çok bilgiyi exports
(gönderimler) el kitabı sayfasında bulacaksınız.
root
(yönetici)'ye yerel uçbirim yerine diğerlerinde de izin verirseniz, lütfen login(5)
el kitabı sayfasına bakınız (man 5 login
ile çağırın).
Yönetici yolu .
'yı içermemelidir
Sistem kullanıcısı root
(yönetici)'nin kabuk değişkeni PATH
(yol) `.
' içermemelidir, ne başta ne de sonda. Nokta `.
' son kullanılan dizin ve içerdiği kabuk program parçalarıyla programları için bir kısaltmadır. Bu tür programlar, başına ./
yazarak açıkça çağrılmalıdır.
Sebep: Normal bir kullanıcı, örneğin, /tmp/
veya kendi HOME
(ev) dizininde ls
adı ile
#!/bin/sh cd / rm -rf *
içeren bir program parçası oluşturduğunda, root
(yönetici) istemeden tüm sistemi silebilir. Yine, PATH
(yol) kabuk değişkeninde .
sonda olmalıdır, kişi yazım hatalarından kaçınamayabilir ve yerel programı istemeden çağırabilir (örneğin, ls
yerine, la
). Bu tehlike, uygun bir şekilde, truva atı olarak tanımlanabilir.
root
(yönetici) olarak çalışmaktan kaçının
Tüm kullanıcılar, sistemin kendisinde önemli işler yapılması gerekmediği sürece, root
(yönetici) olarak çalışmaktan kaçınmalıdır.
Neden: Bir hata olması durumunun tehlikesi çok büyüktür ve root
(yönetici) herşeyi yapabilir, gerçekten herşeyi, istenmese bile... Bu durumda istenmeyen emirler, ardı ardına uyarı yapılmadan çalıştırılır.
Bir müşteriden, uyarı olarak dikkate alınması gereken, özgün bir söz:
... şimdi, root (yönetici) olarak çalıştığım için, bir kaza başıma geldi. Herhangi bir ses alma umuduyla, yanlışlıkla "/dev/dsp" yerine "ls > /dev/hdb2" yazdım - ne yazık ki, /dev/hb2 benim diskteki root (yönetici) bölümüm.
Not: /dev/hb2 onun diskteki root (yönetici) bölümüydü. Ama, hain bir zevkle birlikte, en derin anlayışımızı da sunuyoruz ;-)
Kaynakça
- Pratical UNIX Security (Pratik UNIX Güvenliği), Simson Garfinkel ve Gene Spafford. (O'Reilly Dizisi, ISBN 0-937175-72-2)
- Essential System Administration (Gerekli Sistem Yönetimi), Æleen Frisch. (O'Reilly Dizisi, ISBN 1-56592-127-5)
- Computer Security Basics (Bilgisayar Güvenliği Temelleri), Deborah Russell ve G.T. Gangemi Sr. (O'Reilly Dizisi, ISBN 0-937175-71-4)
SDB:root cannot execute certain programs
<keyword>root,point,path,security,login,rsh,telnet,nfs</keyword>