[mdk-re] multiple root logins
Maksim Otstavnov
=?iso-8859-1?q?maksim_=CE=C1_otstavnov=2Ecom?=
Ср Янв 17 18:41:00 MSK 2001
Hello Artem,
Wednesday, January 17, 2001, 5:53:06 PM, you wrote:
AKJ> Hello Maksim,
AKJ> Wednesday, January 17, 2001, 3:23:50 PM, you wrote:
MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя
MO>> пользователями под одним UID как некорректную.
AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на
AKJ> практике так не бывает, а такое решение дает свои преимущества
Вполне возможно, что они кажущиеся. Практически в любой ситуации можно
найти решение делегированием прав на отдельные каталоги/файлы
администраторам, не являющимся суперпользователями, через механизм
групп. Я не говорил "в любой", я сказал "практически в любой",
обратите внимание.
MO>> А ситуацию с двумя
MO>> UID==0 как серьезную дыру в безопасности хоста.
AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому
AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например
AKJ> и т.д., но почему сразу - дыра?
"Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы
напугать собеседника/клиента. По большому счету, проблем от того, что
в юниксах есть _один_ рут - уже достаточно. Это само по себе
большая... ослабление.
MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми
MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим
MO>> связанных).
AKJ> Я тоже новичок... А идею подсмотрел у админов одного московского
AKJ> провайдера
В аду уже для московских провайдеров, говорят, завели отдельный круг.
;)
--
-- Maksim
Подробная информация о списке рассылки community