Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

root

Модули защиты.

Рубрики: Безопасность | Управление доступом
Метки: |
Дата: 18/06/2009 15:40:46
Подписаться на комментарии по RSS

Возможности root'a

     Начиная с версии ядра 2.1, Linux разделяет всю мощь пользователя root на набор маленьких действий, называемых возможностями (capabilities). Каж­дая возможность представляет какой-то отдельный аспект власти пользова­теля root (например, CAP_CHOWN - возможность изменения владельца файла). Потому что возможности дискретны, надо предоставить процессу отдельные возможности - все или ни одной.

     На данный момент Linux поддерживает 28 возможностей, 7 из которых соответствуют POSIX-стандарту. Полный список возможностей приведен в файле /usr/include/linux/capability.h. Рассмотрим самые инте­ресные из них:

Далее...

Chroot-окружение.

Рубрики: Безопасность | Укрепляем Linux
Метки: | |
Дата: 26/05/2009 15:13:49
Подписаться на комментарии по RSS

Небезопасные сервисы - это потенциальные дыры в системе безопасности. Взломав такой сервис, хакер часто получает возможность исполнять команды от имени пользователя, который запустил этот сервис. Если сервис ра­ботает от пользователя root, можно представить, что хакер сделает с системой.

     Идеально было бы запускать сервисы в «песочницах» - то есть задать такие ограничения для сервиса, при которых хакер не может разрушить систему или повлиять на работу прочих сервисов. Такой «песочницей» представляется chroot-окружение.

     Идея chroot-окружения крайне проста: в некотором каталоге создается минимальная структура ка­талогов, необходимая для запуска этого сервиса, которая эмулирует корневую файловую систему, то есть в этом подката­логе будут подкаталоги /bin, /lib, /etc и другие.

Далее...

Пакет SUDO.

Рубрики: Безопасность | Основные меры защиты Linux
Метки: |
Дата: 07/05/2009 16:25:45
Подписаться на комментарии по RSS

Делегирование доступа root.

     Пользователь root обладает неограниченными правами в Linux-системе, из-за этого он должен обезопасить систему прежде всего от самого себя. Рекомендуется входить в систему и работать в ней как обычный пользователь, а когда действительно нужны права root, с помощью команды su переходить в привилегированный режим. В некоторых дистрибутивах это единственный способ регистрации в качестве пользователя root, поскольку учетная запись root по умолчанию блокируется.

     Иногда есть необходимость предоставления полномочий пользователя root другим пользователям, например хостмастеру — для управления сервером DNS. Но предоставлять пароль root'a каждом желающему не очень хорошая идея.

Далее...