[mdk-re] multiple root logins

Dmitry V. Levin =?iso-8859-1?q?ldv_=CE=C1_fandra=2Eorg?=
Чт Янв 18 02:30:01 MSK 2001 

On Wed, Jan 17, 2001 at 06:11:11PM +0300, Maksim Otstavnov wrote:
> MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя
> MO>> пользователями под одним UID как некорректную.
> AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на
> AKJ> практике так не бывает, а такое решение дает свои преимущества
> 
> Вполне возможно, что они кажущиеся. Практически в любой ситуации можно
> найти решение делегированием прав на отдельные каталоги/файлы
> администраторам, не являющимся суперпользователями, через механизм
> групп. Я не говорил "в любой", я сказал "практически в любой",
> обратите внимание.

А с применением capabilities и sudo - тем более.

> MO>> А ситуацию с двумя
> MO>> UID==0 как серьезную дыру в безопасности хоста.
> AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому
> AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например
> AKJ> и т.д., но почему сразу - дыра?
> 
> "Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы
> напугать собеседника/клиента. По большому счету, проблем от того, что
> в юниксах есть _один_ рут - уже достаточно. Это само по себе
> большая... ослабление.

Конечно, не дыра, но weakness, на которую будут обращать Ваше внимание при
любой возникающей проблеме.

> MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми
> MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим
> MO>> связанных).

Все верно, если интересуют детали, то происходит pw = getpwuid(getuid()), в
виду чего используется только одно username, а именно первое с данным UID.

Думаю, не будет беды, если расширить этот алгоритм (грубо говоря) до
pw = getpwnam(getenv(LOGNAME)) при условии (pw->pw_uid == getuid()).


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20010118/05e5531d/attachment-0014.bin>

Подробная информация о списке рассылки community