Re: Безопастность
Привет, коллеги. On Wed, Apr 24, 2002 at 11:48:52PM +0400, Alexander Kotelnikov wrote: On Wed, 24 Apr 2002 23:29:05 +0400 Wartan == Wartan Hachaturow [EMAIL PROTECTED] wrote: Ruslan /bin/true? Wartan Например, существует масса всяких штук, которые в качестве проверки Wartan на допуск юзера используют валидность шелла в passwd. Самый простой Wartan пример -- ftpd (не все и по дефолту, но тем не менее). Тут такая особенность: у всех эти пользователей хэшированный пароль состоит из одного знака. Проверяй shell не проверяй, валидность низкая. Замену настоящего шелла на фиктивный у всех ненастоящих юзеров я видел в других дистрибутивах с повышенной степенью безопасности, а также в разных статьях на эту тему. Возможно, это перестраховка, а, возможно, ещё один рубеж обороны. Глянул для сравнения в исходники harden, именно по этому поводу ничего не нашёл. Alexander Kotelnikov Saint-Petersburg, Russia Auf Wiederlesenophil aka Д-р Антикоммуний -- Oleg P. Philon http://gomelug.agava.ru/articles Linux Lab, Gomel, Belarus mailto:[EMAIL PROTECTED] http://anticommunist.narod.ru mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
On 2002.04.24 at 23:29:05 +0400, Wartan Hachaturow wrote: On Wed, Apr 24, 2002 at 09:20:43PM +0400, Alexander Kotelnikov wrote: Ruslan /bin/true? Зачем, интересно? Например, существует масса всяких штук, которые в качестве проверки на допуск юзера используют валидность шелла в passwd. Самый простой пример -- ftpd (не все и по дефолту, но тем не менее). Причем валидность шелла определяется как наличие упоминания о нем в /etc/shells. Поэтому у меня для такких юзеров обычно стоит /etc/ftp-only, который является симлинком на /dev/null. А для юзеров, пользующихся только сервисами которые этого не проверяют, используется другой симлинк на /dev/null - /etc/imap-only, который в /etc/shells не упомянут. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Безопастность
Сейчас - 24 апреля 2002 г.(среда), 12:02 Скажите пожалуйста, нормально ли то, что у служебных юзеров (sys, bin, и т.п.) в Debian Woody shell'ом стоит /bin/sh? Не лучше ли сменить его на что-то вроде /bin/true? --- e-mail: [EMAIL PROTECTED], ICQ: 26352891 ISP Navigator -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
Привет, коллеги. On Wed, Apr 24, 2002 at 12:05:33PM +0300, Ruslan Petrenko wrote: Скажите пожалуйста, нормально ли то, что у служебных юзеров (sys, bin, и т.п.) в Debian Woody shell'ом стоит /bin/sh? Не лучше ли сменить его на что-то вроде /bin/true? Скорее всего, что ненормально. У меня стоит вместо шелла у системных юзеров /bin/sync, у почтовых и виндовых /usr/bin/passwd, а настоящий шелл только у особо доверенных юзеров. e-mail: [EMAIL PROTECTED], ICQ: 26352891 Auf Wiederlesenophil aka Д-р Антикоммуний -- Oleg P. Philon http://gomelug.agava.ru/articles Linux Lab, Gomel, Belarus mailto:[EMAIL PROTECTED] http://anticommunist.narod.ru mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
On Wed, 24 Apr 2002 12:05:33 +0300 Ruslan == Ruslan Petrenko [EMAIL PROTECTED] wrote: Ruslan Ruslan Сейчас - 24 апреля 2002 г.(среда), 12:02 Ruslan Скажите пожалуйста, нормально ли то, что у служебных юзеров (sys, bin, и т.п.) Ruslan в Debian Woody shell'ом стоит /bin/sh? Не лучше ли сменить его на что-то вроде Ruslan /bin/true? Зачем, интересно? -- Alexander Kotelnikov Saint-Petersburg, Russia -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
On Wed, Apr 24, 2002 at 09:20:43PM +0400, Alexander Kotelnikov wrote: Ruslan /bin/true? Зачем, интересно? Например, существует масса всяких штук, которые в качестве проверки на допуск юзера используют валидность шелла в passwd. Самый простой пример -- ftpd (не все и по дефолту, но тем не менее). -- Regards, Wartan. Computers are not intelligent. They only think they are. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
On Wed, 24 Apr 2002 23:29:05 +0400 Wartan == Wartan Hachaturow [EMAIL PROTECTED] wrote: Wartan Wartan On Wed, Apr 24, 2002 at 09:20:43PM +0400, Alexander Kotelnikov wrote: Ruslan /bin/true? Зачем, интересно? Wartan Wartan Например, существует масса всяких штук, которые в качестве проверки Wartan на допуск юзера используют валидность шелла в passwd. Самый простой Wartan пример -- ftpd (не все и по дефолту, но тем не менее). Тут такая особенность: у всех эти пользователей хэшированный пароль состоит из одного знака. Проверяй shell не проверяй, валидность низкая. -- Alexander Kotelnikov Saint-Petersburg, Russia -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
безопастность
Господа! Что посоветуете почитать по безопастности, относительно debian`a ? да, еще такой вопрос, тут случайно обнаружил, что на umount стоит +s, это же не правильно, да? -- np: mpg123 not loaded nmk, 2:5030/529.61, ex-2:5030/1048.9, nmkatlk9877.spb.edu
Re: безопастность
On Tue, 12 Feb 2002 13:53:29 +0300 nikita m. kozlovsky [EMAIL PROTECTED] wrote: NMK да, еще такой вопрос, тут случайно обнаружил, что на umount стоит +s, это же NMK не правильно, да? Нет.
Re: безопастность
On Tue, 12 Feb 2002, nikita m. kozlovsky wrote: From: nikita m. kozlovsky [EMAIL PROTECTED] Subject: безопастность Господа! Что посоветуете почитать по безопастности, относительно debian`a ? да, еще такой вопрос, тут случайно обнаружил, что на umount стоит +s, это же не правильно, да? Это правильно. Это позволяет в fstab указывать что некоторые девайсы (cdrom, floppy) user-mountable. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: безопастность
On Tue, Feb 12, 2002 at 01:53:07PM +0300, nikita m. kozlovsky wrote: Господа! Что посоветуете почитать по безопастности, относительно debian`a ? Securing Debian HOWTO: http://www.debian.org/doc/manuals/securing-debian-howto -- Дмитрий Бородаенко