ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       03 Dec 2004  01:59:58
 To : Vadim Guchenko
 Subject : Re: Миф о ненадежности пускания рута по ssh
 -------------------------------------------------------------------------------- 
 

 02 дек 2004, четверг, в 20:25 KRAST, Vadim Guchenko написал(а):
 
  SO>> Ты слишком одностороннее рассмотрение применяешь.
  SO>> Ты не учитываешь того, что в случае удаленного пускания рута это
  SO>> провоцирует на хождение туда исключительно рутом и вообще работу от
  SO>> рута.
  VG> В общем да. Hе вижу смысла администратору сервера что-то делать на этом
  VG> сервере не от рута. Если это действительно production сервер, а не рабочая
  VG> станция с иксами или полигон для экспериментов.
 
 Теоретически это верно: администратор системы настраивает ее один
 раз и потом изредка вносит изменения и устанавливает общесистемные
 приложения, которые уже работают он непривилигированных пользователей,
 в том числе от них конфигурятся и вообще рулятся. Hа практике же
 администраторы приложений очень часто есть много ролей в одном лице
 и лицо это - тот же самый администратор операционки. Соответственно,
 нефиг администрировать приложения, имея привилегий больше чем надо :-)
 
 И вообще работать постоянно рутом в Unix значит собственноручно убить
 local security для интерактивных процессов :-|
 
  SO>> Далее начинаются: разрешить POP3 для рута, FTP для рута и прочее.
  SO>> Так же это увеличивает вероятность того, что пароль рута
  SO>> просто-напросто сопрут при очередном логине.
  VG> Это уже немного другое. Hапример я не использую софт, который завязан на
  VG> passwd. В самом passwd находятся только системные пользователи и админы. А
  VG> POP3 и FTP имеют собственные базы логинов. Поэтому очень легко соблюсти
  VG> принцип: пароль для входа на сервер не используется больше ни для чего,
  VG> кроме как для входа на сервер, нигде не хранится в открытом виде и не
  VG> известен другим администраторам. Саму учетную запись root я не использую,
  VG> вместо нее создаю по записи для каждого админа с uid=gid=0, отдельным
  VG> homedir и шеллом. Hо после коннекта под своим именем админ сразу имеет
  VG> рута
  VG> без всяких su.
 
 Однако, это не единственная модель работы.
 
 Eugene
 -- 
 Всегда, везде и всюду - Смерть и Свет, они растут и убывают, спешат и ждут;
 они внутри и снаружи Грезы Безымянного, каковая - мир; и выжигают они в
 сансаре слова, чтобы создать, быть может, нечто дивно прекрасное.
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор