Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Victor Wagner                        2:5020/400     04 Apr 2004  10:57:54
 To : Maxim Timofeyev
 Subject : Re: Popa3d+Postfix+Web+???
 -------------------------------------------------------------------------------- 
 
 Maxim Timofeyev <Maxim.Timofeyev@p1.f1763.n5030.z2.fidonet.org> wrote:
 
 >>> AB> man sudo
 >>> + еще одна дыра.
 AB>> 1.Это параноИЙя.
 
  MT> Безопасность не может быть параноидальной. ;)
 
 Может. Известно эмпирическое правило - удобство = С/безопасность
 где C - некая константа, зависящая от прочих условий.
 
 Поэтому разумная безопасность заключается в том, что мы строим модель
 угроз, оцениваем риски, оцениваем потери от неудобств созданных
 безопасностью, и ищем точку минимума общих потерь.
 AB>> 2.Sudo общепринятый метод делегирования прав.
 
  MT> Общепринятый -- su.
 
 AB>> Возражения ?
 
 Возражения номер раз:
 
 su требует знания пароля того юзера, от имени которого ты хочешь
 запустить программу. Поэтому любой системный администратор должен знать
 пароль рута. Соответственно, если ты увольняешь одного системного
 администратора, ты обязан поменять этот пароль, и заставить всех
 оставшихся системных администраторов выучить новый.
 
 С sudo каждый из них знает только свой пароль. А пароль рута в
 запечатанном конверте подвешен на стенке в серверной. Hа случай если
 придется сервер поднимать в single user после аппаратного сбоя.
 
 Удалил строчку из /etc/sudoers  и нету у человека больше рута.
 
 su не позволяет выдать человеку право на выполнение ОПРЕДЕЛЕHHЫХ команд.
 Поэтому реально частичное делегирование прав в тех случаях когда оно не
 делается chmod g+w /dev/что-то-там, делается не раздачей кому попало su
 на всё, а написанием суидной запускалки. Самопальные suid-ные программы
 много большая дыра в безопасности, чем sudo.
 
  MT> -- 
  MT> GPG key ID: 55F6ADEC fp: 0BDE AC68 5418 B40A 0C85  C081 037A 6542 55F6 ADEC
  MT> [2:5030/1763@fidonet.org][tmahome@tma.spb.ru][http://tma.spb.ru]
 
 -- 
 Кто первый встал, того и грабли. (с) Д. Белявский.
 --- ifmail v.2.15dev5.3
  * Origin: Free Net of Leninsky,45 (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: Popa3d+Postfix+Web+???   Victor Wagner   04 Apr 2004 10:57:54 
 Popa3d+Postfix+Web+???   Andrey Zotov   04 Apr 2004 17:49:00 
 Re: Popa3d+Postfix+Web+???   Alex Korchmar   04 Apr 2004 22:33:55 
Архивное /ru.linux/151787d733c49.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional