Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

SUDO

Защита SUDO.

Рубрики: Безопасность | Основные меры защиты Linux
Метки:
Дата: 12/05/2009 10:23:59
Подписаться на комментарии по RSS

     Параметры по умолчанию.

     Полный список установок команды sudo можно вывести с помощь опции -V (запускать программу нужно от имени пользователя root):

# sudo -V

Sudo version 1.6.8p12

Authentication methods: 'pam'

Syslog facility if syslog is being used for logging: auth

Syslog priority to use when user authenticates successfully: notice

Syslog priority to use when user authenticates unsuccessfully: alert

Ignore '.' in $PATH

Send mail if the user is not in sudoers

Use a separate timestamp for each user/tty combo

Lecture user the first time they run sudo

Require users to authenticate by default

Root may run sudo

Set $HOME to the target user when starting a shell with -s

Allow some information gathering to give useful error messages

Visudo will honor the EDITOR environment variable

Set the LOGNAME and USER environment variables

Length at which to wrap log file lines (0 for no wrap): 80

Authentication timestamp timeout: 5 minutes

Password prompt timeout: 5 minutes

Number of tries to enter a password: 3

Umask to use or 0777 to use user's: 022

Path to mail program: /usr/sbin/sendmail

Flags for mail program: -t

Address to send mail to: root

Subject line for mail messages: *** SECURITY information for %h ***

Incorrect password message: Sorry, try again.

Path to authentication timestamp dir: /var/run/sudo

Default password prompt: %p's password:

Default user to run commands as: root

Path to the editor for use by visudo: /usr/bin/vi

When to require a password for 'list' pseudocommand: any

When to require a password for 'verify' pseudocommand: all

File containing dummy exec functions: /usr/lib/sudo/sudo_noexec.so

Environment variables to check for sanity:

  LANGUAGE

  LANG

  LC_*

Environment variables to remove:

  PERL5OPT

  PERL5LIB

  PERLLIB

  JAVA_TOOL_OPTIONS

  SHELLOPTS

  PS4

  BASH_ENV

  ENV

  TERMCAP

  TERMPATH

  TERMINFO_DIRS

  TERMINFO

  _RLD*

  LD_*

  PATH_LOCALE

  NLSPATH

  HOSTALIASES

  RES_OPTIONS

  LOCALDOMAIN

  CDPATH

  IFS

Local IP address and netmask pairs:

Далее...

Пакет SUDO.

Рубрики: Безопасность | Основные меры защиты Linux
Метки: |
Дата: 07/05/2009 16:25:45
Подписаться на комментарии по RSS

Делегирование доступа root.

     Пользователь root обладает неограниченными правами в Linux-системе, из-за этого он должен обезопасить систему прежде всего от самого себя. Рекомендуется входить в систему и работать в ней как обычный пользователь, а когда действительно нужны права root, с помощью команды su переходить в привилегированный режим. В некоторых дистрибутивах это единственный способ регистрации в качестве пользователя root, поскольку учетная запись root по умолчанию блокируется.

     Иногда есть необходимость предоставления полномочий пользователя root другим пользователям, например хостмастеру — для управления сервером DNS. Но предоставлять пароль root'a каждом желающему не очень хорошая идея.

Далее...

Другое по PAM.

Рубрики: Безопасность | Основные меры защиты Linux
Метки: | | |
Дата: 02/05/2009 14:52:45
Подписаться на комментарии по RSS

Не РАМ-способ.

     Если РАМ не используется, то для ограничения системных ресурсов необходимо использовать файл /etc/limits. Принцип тот же самый, но несколько отличается синтаксис:

Имя_пользователя Строка_ограничений

     Следуя справочной системе (man limits), можно использовать следующие идентификаторы:

Далее...

Краткий обзор основных мер защиты Linux-сервера.

Рубрики: Безопасность | Основные меры защиты Linux
Метки: | |
Дата: 24/03/2009 10:51:57
Подписаться на комментарии по RSS

Обеспечивая сетевую безопасность - чтобы по сети никто не зашел, не нужно забывать и о локальном доступе. Порой даже за сервером работают обыкновенные пользователи - нет отдельного компьюте­ра, а Web-дизайнеру надо работать, вот он и сидит за Web-сервером.

     Желающих сломать или обойти защиту хватает и в локальной сети. Например, если ведется учет, кто и сколько использует в Интернете, а затем переработка высчитывается с зарплаты. Тогда точно найдется человек, который захочет за чужой счет поработать в Интер­нете. Если имеется небольшая сеть, состоя­щая из 5-7 компьютеров, то локальной безопасности можно уделять меньше внимания - там все свои.

Далее...