root
Модули защиты.
Метки: LSM | root
Дата: 18/06/2009 15:40:46
Подписаться на комментарии по RSS
Возможности root'a
Начиная с версии ядра 2.1, Linux разделяет всю мощь пользователя root на набор маленьких действий, называемых возможностями (capabilities). Каждая возможность представляет какой-то отдельный аспект власти пользователя root (например, CAP_CHOWN - возможность изменения владельца файла). Потому что возможности дискретны, надо предоставить процессу отдельные возможности - все или ни одной.
На данный момент Linux поддерживает 28 возможностей, 7 из которых соответствуют POSIX-стандарту. Полный список возможностей приведен в файле /usr/include/linux/capability.h. Рассмотрим самые интересные из них:
Chroot-окружение.
Метки: chroot | FTP | root
Дата: 26/05/2009 15:13:49
Подписаться на комментарии по RSS
Небезопасные сервисы - это потенциальные дыры в системе безопасности. Взломав такой сервис, хакер часто получает возможность исполнять команды от имени пользователя, который запустил этот сервис. Если сервис работает от пользователя root, можно представить, что хакер сделает с системой.
Идеально было бы запускать сервисы в «песочницах» - то есть задать такие ограничения для сервиса, при которых хакер не может разрушить систему или повлиять на работу прочих сервисов. Такой «песочницей» представляется chroot-окружение.
Идея chroot-окружения крайне проста: в некотором каталоге создается минимальная структура каталогов, необходимая для запуска этого сервиса, которая эмулирует корневую файловую систему, то есть в этом подкаталоге будут подкаталоги /bin, /lib, /etc и другие.
Пакет SUDO.
Метки: root | SUDO
Дата: 07/05/2009 16:25:45
Подписаться на комментарии по RSS
Делегирование доступа root.
Пользователь root обладает неограниченными правами в Linux-системе, из-за этого он должен обезопасить систему прежде всего от самого себя. Рекомендуется входить в систему и работать в ней как обычный пользователь, а когда действительно нужны права root, с помощью команды su переходить в привилегированный режим. В некоторых дистрибутивах это единственный способ регистрации в качестве пользователя root, поскольку учетная запись root по умолчанию блокируется.
Иногда есть необходимость предоставления полномочий пользователя root другим пользователям, например хостмастеру — для управления сервером DNS. Но предоставлять пароль root'a каждом желающему не очень хорошая идея.