Linux HOWTO


Безопасность администратора - часть 2


  • Никогда не используйте набор утилит rlogin/rsh/rexec (называемых r-утилитами) будучи администратором. Они являются предметом интереса многих типов взломщиков и являются прямой опасностью при запуске администратором. Никогда не создавайте файл .rhosts будучи администратором.
  • Файл /etc/securetty содержит список терминалов, с которых может зарегистрироваться администратор. По умолчанию (в Red Hat Linux) все установлено только на локальные виртуальные консоли (vtys). Будьте очень осторожны добавляя что-либо еще в этот файл. Вы можете зарегистрироваться удаленно как обычный пользователь, а затем использовать 'su', если вам действительно это нужно (полезно через ssh или другой зашифрованный канал), таким образом нет необходимости прямо регистрироваться как администратор.
  • Никогда не спешите и обдумывайте каждый шаг работая администратором. Ваши действия могут затронуть многие вещи. Думайте (!!!) прежде чем что-либо выполнить.
  • Если вам абсолютно положительно необходимо разрешить кому-либо (обычно очень доверенному) иметь доступ как администратор к вашей машине, существует несколько инструментов, которые могут помочь. Sudo позволяет пользователям использовать их пароли для получения доступа к ограниченному набору команд администратора. Это позволит вам, например, разрешить пользователям менять и монтировать сменные диски в вашей системе, но не даст других привилегий. Sudo также ведет журнал всех удачных и неудачных запусков, позволяя вам отслеживать кто и для чего использовал эту команду. Поэтому sudo работает хорошо даже в тех местах, где несколько человек имеют права администратора, - используя возможности sudo, вы можете отследить, какие были сделаны изменения.

    Хотя sudo может использоваться для предоставления определенным пользователям определенных привилегий для специфических задач, эта утилита имеет несколько недостатков. Она должна использоваться только для ограниченного набора задач, подобных перезагрузке сервера, или добавления новых пользователей. Любая программа, которая предоставляет возможность выхода из shell, дает пользователю права администратора. Например, это свойственно многим редакторам. Также такие безобидные программы как /bin/cat могут использоваться для перезаписи файлов, которые могут позволить эксплуатировать счет администратора. Рассматривайте sudo как средство учета, и не ожидайте, что заменив им суперпользователя, вы будете в безопасности.




    Начало  Назад  Вперед



    Книжный магазин