Re: Безопастность
> On Thu, 25 Apr 2002 08:52:41 +0300 > "Oleg" == Oleg P Philon <[EMAIL PROTECTED]> wrote: Oleg> Oleg> Замену настоящего шелла на фиктивный у всех ненастоящих юзеров Oleg> я видел в других дистрибутивах с повышенной степенью безопасности, Oleg> а также в разных статьях на эту тему. Возможно, это перестраховка, Oleg> а, возможно, ещё один рубеж обороны. Глянул для сравнения в исходники Oleg> harden, именно по этому поводу ничего не нашёл. Итого: аргументация отсутствует. -- Alexander Kotelnikov Saint-Petersburg, Russia -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
On 2002.04.24 at 23:29:05 +0400, Wartan Hachaturow wrote: > On Wed, Apr 24, 2002 at 09:20:43PM +0400, Alexander Kotelnikov wrote: > > > Ruslan> /bin/true? > > > > Зачем, интересно? > > Например, существует масса всяких штук, которые в качестве проверки > на допуск юзера используют валидность шелла в passwd. Самый простой > пример -- ftpd (не все и по дефолту, но тем не менее). Причем валидность шелла определяется как наличие упоминания о нем в /etc/shells. Поэтому у меня для такких юзеров обычно стоит /etc/ftp-only, который является симлинком на /dev/null. А для юзеров, пользующихся только сервисами которые этого не проверяют, используется другой симлинк на /dev/null - /etc/imap-only, который в /etc/shells не упомянут. -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
Привет, коллеги. On Wed, Apr 24, 2002 at 11:48:52PM +0400, Alexander Kotelnikov wrote: > > On Wed, 24 Apr 2002 23:29:05 +0400 > > "Wartan" == Wartan Hachaturow <[EMAIL PROTECTED]> wrote: > Ruslan> /bin/true? > Wartan> Например, существует масса всяких штук, которые в качестве проверки > Wartan> на допуск юзера используют валидность шелла в passwd. Самый простой > Wartan> пример -- ftpd (не все и по дефолту, но тем не менее). > Тут такая особенность: у всех эти пользователей хэшированный пароль > состоит из одного знака. Проверяй shell не проверяй, валидность > низкая. Замену настоящего шелла на фиктивный у всех ненастоящих юзеров я видел в других дистрибутивах с повышенной степенью безопасности, а также в разных статьях на эту тему. Возможно, это перестраховка, а, возможно, ещё один рубеж обороны. Глянул для сравнения в исходники harden, именно по этому поводу ничего не нашёл. > Alexander Kotelnikov > Saint-Petersburg, Russia Auf Wiederlesenophil aka Д-р Антикоммуний -- Oleg P. Philon http://gomelug.agava.ru/articles Linux Lab, Gomel, Belarus mailto:[EMAIL PROTECTED] http://anticommunist.narod.ru mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
> On Wed, 24 Apr 2002 23:29:05 +0400 > "Wartan" == Wartan Hachaturow <[EMAIL PROTECTED]> wrote: Wartan> Wartan> On Wed, Apr 24, 2002 at 09:20:43PM +0400, Alexander Kotelnikov wrote: Ruslan> /bin/true? >> >> Зачем, интересно? Wartan> Wartan> Например, существует масса всяких штук, которые в качестве проверки Wartan> на допуск юзера используют валидность шелла в passwd. Самый простой Wartan> пример -- ftpd (не все и по дефолту, но тем не менее). Тут такая особенность: у всех эти пользователей хэшированный пароль состоит из одного знака. Проверяй shell не проверяй, валидность низкая. -- Alexander Kotelnikov Saint-Petersburg, Russia -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
On Wed, Apr 24, 2002 at 09:20:43PM +0400, Alexander Kotelnikov wrote: > Ruslan> /bin/true? > > Зачем, интересно? Например, существует масса всяких штук, которые в качестве проверки на допуск юзера используют валидность шелла в passwd. Самый простой пример -- ftpd (не все и по дефолту, но тем не менее). -- Regards, Wartan. "Computers are not intelligent. They only think they are." -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
> On Wed, 24 Apr 2002 12:05:33 +0300 > "Ruslan" == Ruslan Petrenko <[EMAIL PROTECTED]> wrote: Ruslan> Ruslan> Сейчас - 24 апреля 2002 г.(среда), 12:02 Ruslan> Скажите пожалуйста, нормально ли то, что у служебных юзеров (sys, bin, и т.п.) Ruslan> в Debian Woody shell'ом стоит /bin/sh? Не лучше ли сменить его на что-то вроде Ruslan> /bin/true? Зачем, интересно? -- Alexander Kotelnikov Saint-Petersburg, Russia -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Безопастность
Привет, коллеги. On Wed, Apr 24, 2002 at 12:05:33PM +0300, Ruslan Petrenko wrote: > Скажите пожалуйста, нормально ли то, что у служебных юзеров (sys, bin, и > т.п.) > в Debian Woody shell'ом стоит /bin/sh? Не лучше ли сменить его на что-то вроде > /bin/true? Скорее всего, что ненормально. У меня стоит вместо шелла у системных юзеров /bin/sync, у почтовых и виндовых /usr/bin/passwd, а настоящий шелл только у особо доверенных юзеров. > e-mail: [EMAIL PROTECTED], ICQ: 26352891 Auf Wiederlesenophil aka Д-р Антикоммуний -- Oleg P. Philon http://gomelug.agava.ru/articles Linux Lab, Gomel, Belarus mailto:[EMAIL PROTECTED] http://anticommunist.narod.ru mailto:[EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Безопастность
Сейчас - 24 апреля 2002 г.(среда), 12:02 Скажите пожалуйста, нормально ли то, что у служебных юзеров (sys, bin, и т.п.) в Debian Woody shell'ом стоит /bin/sh? Не лучше ли сменить его на что-то вроде /bin/true? --- e-mail: [EMAIL PROTECTED], ICQ: 26352891 ISP Navigator -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: безопастность
On Tue, Feb 12, 2002 at 01:53:07PM +0300, nikita m. kozlovsky wrote: > Господа! Что посоветуете почитать по безопастности, относительно debian`a ? Securing Debian HOWTO: http://www.debian.org/doc/manuals/securing-debian-howto -- Дмитрий Бородаенко
Re: безопастность
On Tue, 12 Feb 2002, nikita m. kozlovsky wrote: > From: nikita m. kozlovsky <[EMAIL PROTECTED]> > Subject: безопастность > > > Господа! Что посоветуете почитать по безопастности, относительно debian`a ? > да, еще такой вопрос, тут случайно обнаружил, что на umount стоит +s, это же > не правильно, да? Это правильно. Это позволяет в fstab указывать что некоторые девайсы (cdrom, floppy) user-mountable. > -- Victor Wagner [EMAIL PROTECTED] Chief Technical Officer Office:7-(095)-748-53-88 Communiware.Net Home: 7-(095)-135-46-61 http://www.communiware.net http://www.ice.ru/~vitus
Re: безопастность
On Tue, 12 Feb 2002 13:53:29 +0300 "nikita m. kozlovsky" <[EMAIL PROTECTED]> wrote: NMK> да, еще такой вопрос, тут случайно обнаружил, что на umount стоит +s, это же NMK> не правильно, да? Нет.
безопастность
Господа! Что посоветуете почитать по безопастности, относительно debian`a ? да, еще такой вопрос, тут случайно обнаружил, что на umount стоит +s, это же не правильно, да? -- np: mpg123 not loaded nmk, 2:5030/529.61, ex-2:5030/1048.9, nmklk9877.spb.edu