Re: superusuario no root
On Fri, Jan 20, 2006 at 12:10:34AM +0100, Iñaki wrote: El Jueves, 19 de Enero de 2006 23:59, Ricardo Araoz escribió: El Jueves 19 Enero 2006 14:03, Iñaki escribió: El Jueves, 19 de Enero de 2006 17:42, Antonio Montana escribió: On Thu, 19 Jan 2006 10:58:39 -0300 Ricardo Frydman Eureka! [EMAIL PROTECTED] wrote: Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil conseguir la clave del usuario que ya eres, es cuestion de tiempo... Así rápidamente se me ocurre un script que simule un su y lo metas como alias al propio su en el fichero de inicializacion de la propia shell del usuario (si es bash , en su ~/.bashrc) , y te envie lo introducido por correo , lo guarde en otro fichero , etc Tú eres malo pero malo malo, ¿eh? Si, es verdaderamente malo ;c) Pero lo que no me queda claro es qué diferencia habría si no uso sudo. O sea, estoy en mi máquina como usuario normal, quiero hacer algo como root, entonces su. pongo mi contraseña de root y. voilá, el eureka se hizo con mi máquina! Ahora me vas a decir que tampoco hay que hacer su! jajaja... Yo digo lo mismo y le prohibo a mi hija salir a la calle en absoluto, ni al colegio. Será analfabeta... pero estará segura! ¡ Estás en todo ! y encima tienes razón. Concluyendo, viva sudo para los usuarios mortales. Los que usuais sudo deberiais ir actualizando ;) -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 - -- Debian Security Advisory DSA 946-1 [EMAIL PROTECTED] http://www.debian.org/security/ Martin Schulze January 20th, 2006http://www.debian.org/security/faq - -- Package: sudo Vulnerability : missing input sanitising Problem type : local Debian-specific: no CVE IDs: CVE-2005-4158 CVE-2006-0151 Debian Bug : 342948 It has been discovered that sudo, a privileged program, that provides limited super user privileges to specific users, passes several environment variables to the program that runs with elevated privileges. In the case of include paths (e.g. for Perl, Python, Ruby or other scripting languages) this can cause arbitrary code to be executed as privileged user if the attacker points to a manipulated version of a system library. This update alters the former behaviour of sudo and limits the number of supported environment variables to LC_*, LANG, LANGUAGE and TERM. Additional variables are only passed through when set as env_check in /etc/sudoers, which might be required for some scripts to continue to work. [...] -- Las autoridades sanitarias advierten que usar software propietario es perjudicial para su maquina. Sé libre. Usa GNU/Linux. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
- Original Message - From: Antonio Trujillo Carmona En alguna instalación he visto que en lugar de sulogin usa bash --login pero sigue pidiendo la clave de root ¿funcionaria con su usuario -c bash --login? Que buena pregunta. Cuando lo pruebes nos lo cuentas ;-) Saludos Guimi http://www.guimi.net -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El Jueves, 19 de Enero de 2006 01:18, Gabriel Parrondo escribió: No, no puedes porque no sabes MI clave de USUARIO. Sorry. Aunque todos sabemos que la mayoria se eligen una clave del tipo zxxxzac541cdlpLL,p.Q901J para el root, y claves como JuAnCiTo9322 para el usuario comun (cuando muy complicado). No creo que un ataque de fuerza bruta demore mucho con un usuario comun (y con comun me refiero sobre todo a los provenientes de Windows, que ni siquiera saben que hay un administrador con privilegios para todo, y que ellos están como tal todo el tiempo). Es raro que los usuarios hogareños de windows elijan una contraseña segura (mi familia no lo hace ni a pedido expreso). Simplemente no saben lo que es la seguridad, y dicen y quien va a querer entrar acá??; o simplemente creen que las invasiones a sistemas sólo ocurren en peliculas de Angelina Jolie. JuAnCiTo9322 puede demorar a lo sumo unos días a john no obstante, se supone que ya has entrado en el sistema como usuario normal, para qué necesitas una contraseña más? passwd te permitiría elegirla, no obstante. -- El pasado tiene sus códigos y costumbres. -- Sócrates. (470-399 a.C.) Filósofo griego. -- // //Rober Morales Chaparro // #include /* RMC'05 */ iostream class saludo { public: saludo(){ std::cout Hola; } ~saludo() { std::cout Mundo! ; } } ; int main() { saludo holamundo; }
Re: superusuario no root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: El Jueves, 19 de Enero de 2006 00:52, Ricardo Araoz escribió: El Miércoles 18 Enero 2006 16:09, Ricardo Frydman Eureka! escribió: Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Fijate que pasa si como usuario comun escribes passwd y entenderas el peligro, Iñaki! jajaja!!! Me parece que hace mucho que no entrás como usuario común Si ponés passwd como usuario común, lo primero que hace es pedirte tu contraseña de usuario!! Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil conseguir la clave del usuario que ya eres, es cuestion de tiempo... man script y otros... Si, si claro ahora me diras que revisas todos tus archivos de configuracion de usuario todos los dias Evidentemente, no es algo /sencillo/ pero vamos a convenir que es preferible que el sujeto indeseable este /fuera/ del sistema y no dentro. Y si esta dentro, yo preferiria que no lo este como un user con sudo habilitado Tu no? Exacto. Extraído del manual de passwd: The user is first prompted for his/her old password, if one is present. This password is then encrypted and compared against the stored password. The user has only one chance to enter the correct password. The super user is permitted to bypass this step so that forgotten passwords may be changed. Touchée - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDz5sPkw12RhFuGy4RAlfwAJ9OX/5ThZKBcHef2pT1HJnWmoVj/wCaAnva Swb63+IdKYNNXW1DmRJfGwM= =6McW -END PGP SIGNATURE-
Re: superusuario no root
On Thu, 19 Jan 2006 10:58:39 -0300 Ricardo Frydman Eureka! [EMAIL PROTECTED] wrote: Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil conseguir la clave del usuario que ya eres, es cuestion de tiempo... Así rápidamente se me ocurre un script que simule un su y lo metas como alias al propio su en el fichero de inicializacion de la propia shell del usuario (si es bash , en su ~/.bashrc) , y te envie lo introducido por correo , lo guarde en otro fichero , etc man script y otros... Entiendo que intentas de decir que ejecutando script y proponiendo un su , vas a capturar la contraseña , he de darte la mala noticia que script solo captura los caracteres que ves en pantalla , y que no es un keylogger , que sería a lo que deberías de referirte. Si, si claro ahora me diras que revisas todos tus archivos de configuracion de usuario todos los dias No es necesario , si partimos de una buena configuración inicial a la hora de establecer el servicio , y las auditorias y actualizaciones pertinentes con una frecuencia adecuada. Evidentemente, no es algo /sencillo/ pero vamos a convenir que es preferible que el sujeto indeseable este /fuera/ del sistema y no dentro. Eso es cierto , aunque no hay que dar lugar a que el sujeto esté dentro. Y si esta dentro, yo preferiria que no lo este como un user con sudo habilitado En eso estoy contigo. Un saludo -- #WOPR# login: joshua OK, HELLO+ PLAY THERMONUCLEAR_WAR; Loading
Re: superusuario no root
El Jueves, 19 de Enero de 2006 17:42, Antonio Montana escribió: On Thu, 19 Jan 2006 10:58:39 -0300 Ricardo Frydman Eureka! [EMAIL PROTECTED] wrote: Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil conseguir la clave del usuario que ya eres, es cuestion de tiempo... Así rápidamente se me ocurre un script que simule un su y lo metas como alias al propio su en el fichero de inicializacion de la propia shell del usuario (si es bash , en su ~/.bashrc) , y te envie lo introducido por correo , lo guarde en otro fichero , etc Tú eres malo pero malo malo, ¿eh? :p man script y otros... Entiendo que intentas de decir que ejecutando script y proponiendo un su , vas a capturar la contraseña , he de darte la mala noticia que script solo captura los caracteres que ves en pantalla , y que no es un keylogger , que sería a lo que deberías de referirte. Si, si claro ahora me diras que revisas todos tus archivos de configuracion de usuario todos los dias No es necesario , si partimos de una buena configuración inicial a la hora de establecer el servicio , y las auditorias y actualizaciones pertinentes con una frecuencia adecuada. Evidentemente, no es algo /sencillo/ pero vamos a convenir que es preferible que el sujeto indeseable este /fuera/ del sistema y no dentro. Eso es cierto , aunque no hay que dar lugar a que el sujeto esté dentro. Y si esta dentro, yo preferiria que no lo este como un user con sudo habilitado En eso estoy contigo. Un saludo -- y hasta aquí puedo leer...
Re: superusuario no root
On Thu, 19 Jan 2006 18:03:32 +0100 Iñaki [EMAIL PROTECTED] wrote: Tú eres malo pero malo malo, ¿eh? Como dice la canción de def con dos . soy un buen chaval , algo drogao , pero eso hoy en dia le pasa a cualquiera. -- #WOPR# login: joshua OK, HELLO+ PLAY THERMONUCLEAR_WAR; Loading
Re: superusuario no root
El Jueves 19 Enero 2006 10:19, Rober Morales escribió: El Jueves, 19 de Enero de 2006 01:18, Gabriel Parrondo escribió: No, no puedes porque no sabes MI clave de USUARIO. Sorry. Aunque todos sabemos que la mayoria se eligen una clave del tipo zxxxzac541cdlpLL,p.Q901J para el root, y claves como JuAnCiTo9322 para el usuario comun (cuando muy complicado). No creo que un ataque de fuerza bruta demore mucho con un usuario comun (y con comun me refiero sobre todo a los provenientes de Windows, que ni siquiera saben que hay un administrador con privilegios para todo, y que ellos están como tal todo el tiempo). Es raro que los usuarios hogareños de windows elijan una contraseña segura (mi familia no lo hace ni a pedido expreso). Simplemente no saben lo que es la seguridad, y dicen y quien va a querer entrar acá??; o simplemente creen que las invasiones a sistemas sólo ocurren en peliculas de Angelina Jolie. JuAnCiTo9322 puede demorar a lo sumo unos días a john De igual manera zxxxzac541cdlpLL,p.Q901J lo demorará una semana o dos. Cuál es la diferencia? Si entró a tu sistema y partes de la base que con un ataque de fuerza bruta puede sacar una contraseña, qué le impide obtener la de root de la misma manera? no obstante, se supone que ya has entrado en el sistema como usuario normal, para qué necesitas una contraseña más? passwd te permitiría elegirla, no obstante. -- El pasado tiene sus códigos y costumbres. -- Sócrates. (470-399 a.C.) Filósofo griego.
Re: superusuario no root
El Jueves, 19 de Enero de 2006 23:29, Ricardo Araoz escribió: El Jueves 19 Enero 2006 10:19, Rober Morales escribió: El Jueves, 19 de Enero de 2006 01:18, Gabriel Parrondo escribió: No, no puedes porque no sabes MI clave de USUARIO. Sorry. Aunque todos sabemos que la mayoria se eligen una clave del tipo zxxxzac541cdlpLL,p.Q901J para el root, y claves como JuAnCiTo9322 para el usuario comun (cuando muy complicado). No creo que un ataque de fuerza bruta demore mucho con un usuario comun (y con comun me refiero sobre todo a los provenientes de Windows, que ni siquiera saben que hay un administrador con privilegios para todo, y que ellos están como tal todo el tiempo). Es raro que los usuarios hogareños de windows elijan una contraseña segura (mi familia no lo hace ni a pedido expreso). Simplemente no saben lo que es la seguridad, y dicen y quien va a querer entrar acá??; o simplemente creen que las invasiones a sistemas sólo ocurren en peliculas de Angelina Jolie. JuAnCiTo9322 puede demorar a lo sumo unos días a john De igual manera zxxxzac541cdlpLL,p.Q901J lo demorará una semana o dos. Cuál es la diferencia? Si entró a tu sistema y partes de la base que con un ataque de fuerza bruta puede sacar una contraseña, qué le impide obtener la de root de la misma manera? Yo lo que no entiendo es de dónde saca que puede averiguar por fuerza bruta una contraseña de 12 caracteres en unos días... yo más bien creo que serían 2 elevado a la 7 años. Sí, es posible que exagere (o no), pero desde luego me acerco más que unos días. Además, incluso en un ataque de diccionario o conociendo el nombre del usuario (Juan de apodo juancito) sólo por la permutación de mayúsculas y minúsculas y la cifra final sería imposible averiguar la password en menos de 5 años. -- y hasta aquí puedo leer...
Re: superusuario no root
El Jueves 19 Enero 2006 10:58, Ricardo Frydman Eureka! escribió: Iñaki wrote: El Jueves, 19 de Enero de 2006 00:52, Ricardo Araoz escribió: El Miércoles 18 Enero 2006 16:09, Ricardo Frydman Eureka! escribió: Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Fijate que pasa si como usuario comun escribes passwd y entenderas el peligro, Iñaki! jajaja!!! Me parece que hace mucho que no entrás como usuario común Si ponés passwd como usuario común, lo primero que hace es pedirte tu contraseña de usuario!! Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil conseguir la clave del usuario que ya eres, es cuestion de tiempo... man script y otros... Si, si claro ahora me diras que revisas todos tus archivos de configuracion de usuario todos los dias Evidentemente, no es algo /sencillo/ pero vamos a convenir que es preferible que el sujeto indeseable este /fuera/ del sistema y no dentro. Y si esta dentro, yo preferiria que no lo este como un user con sudo habilitado Tu no? Bueno, para preferencias.. preferiría tener 10 millones de verdes. O que el tipo me mande un mail con su dirección y tener la herramienta destroyall (que destruye la computadora ofensora y todo en un radio de 2 metros). O sólo tener al tipo al alcance de mi mano
Re: superusuario no root
El Jueves 19 Enero 2006 14:03, Iñaki escribió: El Jueves, 19 de Enero de 2006 17:42, Antonio Montana escribió: On Thu, 19 Jan 2006 10:58:39 -0300 Ricardo Frydman Eureka! [EMAIL PROTECTED] wrote: Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil conseguir la clave del usuario que ya eres, es cuestion de tiempo... Así rápidamente se me ocurre un script que simule un su y lo metas como alias al propio su en el fichero de inicializacion de la propia shell del usuario (si es bash , en su ~/.bashrc) , y te envie lo introducido por correo , lo guarde en otro fichero , etc Tú eres malo pero malo malo, ¿eh? Si, es verdaderamente malo ;c) Pero lo que no me queda claro es qué diferencia habría si no uso sudo. O sea, estoy en mi máquina como usuario normal, quiero hacer algo como root, entonces su. pongo mi contraseña de root y. voilá, el eureka se hizo con mi máquina! Ahora me vas a decir que tampoco hay que hacer su! jajaja... Yo digo lo mismo y le prohibo a mi hija salir a la calle en absoluto, ni al colegio. Será analfabeta... pero estará segura!
Re: superusuario no root
El Jueves, 19 de Enero de 2006 23:59, Ricardo Araoz escribió: El Jueves 19 Enero 2006 14:03, Iñaki escribió: El Jueves, 19 de Enero de 2006 17:42, Antonio Montana escribió: On Thu, 19 Jan 2006 10:58:39 -0300 Ricardo Frydman Eureka! [EMAIL PROTECTED] wrote: Es cierto! tienes razon en eso, de todas maneras Iñaki, no es dificil conseguir la clave del usuario que ya eres, es cuestion de tiempo... Así rápidamente se me ocurre un script que simule un su y lo metas como alias al propio su en el fichero de inicializacion de la propia shell del usuario (si es bash , en su ~/.bashrc) , y te envie lo introducido por correo , lo guarde en otro fichero , etc Tú eres malo pero malo malo, ¿eh? Si, es verdaderamente malo ;c) Pero lo que no me queda claro es qué diferencia habría si no uso sudo. O sea, estoy en mi máquina como usuario normal, quiero hacer algo como root, entonces su. pongo mi contraseña de root y. voilá, el eureka se hizo con mi máquina! Ahora me vas a decir que tampoco hay que hacer su! jajaja... Yo digo lo mismo y le prohibo a mi hija salir a la calle en absoluto, ni al colegio. Será analfabeta... pero estará segura! ¡ Estás en todo ! y encima tienes razón. Concluyendo, viva sudo para los usuarios mortales. -- y hasta aquí puedo leer...
Re: superusuario no root
El Jueves 19 Enero 2006 19:41, Iñaki escribió: El Jueves, 19 de Enero de 2006 23:29, Ricardo Araoz escribió: El Jueves 19 Enero 2006 10:19, Rober Morales escribió: El Jueves, 19 de Enero de 2006 01:18, Gabriel Parrondo escribió: No, no puedes porque no sabes MI clave de USUARIO. Sorry. Aunque todos sabemos que la mayoria se eligen una clave del tipo zxxxzac541cdlpLL,p.Q901J para el root, y claves como JuAnCiTo9322 para el usuario comun (cuando muy complicado). No creo que un ataque de fuerza bruta demore mucho con un usuario comun (y con comun me refiero sobre todo a los provenientes de Windows, que ni siquiera saben que hay un administrador con privilegios para todo, y que ellos están como tal todo el tiempo). Es raro que los usuarios hogareños de windows elijan una contraseña segura (mi familia no lo hace ni a pedido expreso). Simplemente no saben lo que es la seguridad, y dicen y quien va a querer entrar acá??; o simplemente creen que las invasiones a sistemas sólo ocurren en peliculas de Angelina Jolie. JuAnCiTo9322 puede demorar a lo sumo unos días a john De igual manera zxxxzac541cdlpLL,p.Q901J lo demorará una semana o dos. Cuál es la diferencia? Si entró a tu sistema y partes de la base que con un ataque de fuerza bruta puede sacar una contraseña, qué le impide obtener la de root de la misma manera? Yo lo que no entiendo es de dónde saca que puede averiguar por fuerza bruta una contraseña de 12 caracteres en unos días... yo más bien creo que serían 2 elevado a la 7 años. Sí, es posible que exagere (o no), pero desde luego me acerco más que unos días. Además, incluso en un ataque de diccionario o conociendo el nombre del usuario (Juan de apodo juancito) sólo por la permutación de mayúsculas y minúsculas y la cifra final sería imposible averiguar la password en menos de 5 años. Y ni te cuento si al tío se le ocurre usar alguna o # en el medio. jajaja
superusuario no root
Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El 18/01/06, Antonio Trujillo Carmona[EMAIL PROTECTED] escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Que no sepas la clave de root lo veo un poco tonto. Simplemente no se la digas a nadie, qué más te da si luego tienes un usuario root? Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. Necesitarás la clave de root, pero como no la sabes... En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- ... may the source be with you...
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 17:52, Antonio Trujillo Carmona escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. ¿Y eso seguro que funciona? quiero decir, realmente que yo sepa el nombre de usuario es lo de menos, lo que cuenta es su uid. ¿¿¿Cómo puedes tener conviviendo al usuario root con otro al que le has puesto uid 0??? Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. Supongo (pero no lo prometo) que si tienes definido un usuario en sudoers en el sulogin podrás loguearte con él. -- y hasta aquí puedo leer...
Re: superusuario no root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... No CUALQUIER COSA sudo sudo (SUperuser DO) es una herramieta que permite otorgar a un usuario o grupos de usuarios normales, permisos para ejecutar algunos comandos como root (o como otros usuarios) sin necesidad de conocer su password. Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) SUDO es una buena alternativa de seguridad. Dado que no TODOS sabran la clave de root y haran solo lo que root quiera o lo que les asigne. - -- Diego Chacón Rojas [EMAIL PROTECTED] San Jose Costa Rica .-. /v\L I N U X // \\ /( )\ ^^-^^ This is Unix-Land. In quiet nights, you can hear the Windows machines reboot USER350910 MACHINE 244435. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDznWDROwuAjfZTgQRAu09AKDg/gvK4Q/32w1aR+AcSGcH4aXcQwCg5Sng nWi1PxcG5vzVCU1GGlNFmQo= =/sNr -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El mié, 18-01-2006 a las 17:52 +0100, Antonio Trujillo Carmona escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? Ubuntu usa 'sudo', con el mismo podes determinar que operaciones hace un usuario determinado y aparte te genera un log de los comandos ejecutados o que se intentaron ejecutar con sudo. Si buscas en google de seguro que vas a encontrar mucha información. Saludos Anibal -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 18:00, ChEnChO escribió: El 18/01/06, Antonio Trujillo Carmona[EMAIL PROTECTED] escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Que no sepas la clave de root lo veo un poco tonto. Simplemente no se la digas a nadie, qué más te da si luego tienes un usuario root? Qué buena apreciación, no me había dado cuenta. El único problema que se me ocurre es pillarse una buena papa e ir soltando la clave de root a cualquier desconocido... ;) Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. Necesitarás la clave de root, pero como no la sabes... En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... Sólo el usuario normal que ha hecho la instalación es quien figura en sudoers. Y sí, puesto que por defecto no se puede usar root alguien tendrá que haber con todos los permisos. No obstante es completamente seguro y funcional, ya que antes de hacer CUALQUIER operación con sudo te pide tu clave de usuario, que sólo tú la sabes. ¿Para qué tener que memorizar dos claves? A mí me parece uno de los mejores inventos (o implementación de algo ya existente) de cara a un Linux para el usuario final. Lo mejor con diferencia. Y yo era el primero de los reacios antes de probarlo, pero desde que lo probé se lo instalo sin ninguna duda a mis amigos y a quien esté interesado en Linux como usuario normal. Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Es mucho más inmanejable para un usuario normal. Además uno se acostumbra increiblemente rápido a ese sistema, por algo será. Y la seguridad repito que es total. Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) ¿es el sudo de Ubuntu buena idea? a) SI * 75% b) NO ** 7% c) N/S * 20% d) Prefiero Windows 0 % Está claro ¿no? Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- ... may the source be with you... -- y hasta aquí puedo leer...
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 18:06, [EMAIL PROTECTED] escribió: ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... No CUALQUIER COSA sudo sudo (SUperuser DO) es una herramieta que permite otorgar a un usuario o grupos de usuarios normales, permisos para ejecutar algunos comandos como root (o como otros usuarios) sin necesidad de conocer su password. Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) SUDO es una buena alternativa de seguridad. Dado que no TODOS sabran la clave de root y haran solo lo que root quiera o lo que les asigne. Añado que el uso de SUDO es una buena idea para acabar con aquellos KamiKaze que intentan arrancar KDE como root o hacer todo como root para ahorrarse problemas. Por otra parte es más fácil acordarse de una contraseña que de dos, y también es más fácil que alguien acierte tu contraseña si tienes dos que si tienes una. -- y hasta aquí puedo leer...
Re: superusuario no root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Antonio Trujillo Carmona wrote: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. No es para hacer /eso/ que alguien sudó y nos regaló sudo? Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? Ver cita con cacofonía mas arriba. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDznflkw12RhFuGy4RAsHfAJ48paXSV9CA0z13OyAXnFW3wuMy4ACdEITG Urt1sv1ov24l9LUigfJMA8E= =gQLu -END PGP SIGNATURE-
Re: superusuario no root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 ChEnChO wrote: El 18/01/06, Antonio Trujillo Carmona[EMAIL PROTECTED] escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Que no sepas la clave de root lo veo un poco tonto. Simplemente no se la digas a nadie, qué más te da si luego tienes un usuario root? Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. Necesitarás la clave de root, pero como no la sabes... En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... Depende como lo tengas configurado. Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Depende para que. Hay situaciones en las que sudo es una gran y elegante salida... Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) Y el resto agua y ajo! Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- ... may the source be with you... - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDznhNkw12RhFuGy4RAl6jAJ9hh0EEFlvBSIITZH8D9vgLUYrzVgCaAqK8 /BbYGWrPD8Y7EvXuP2/WVyg= =xKZT -END PGP SIGNATURE-
Re: superusuario no root
El 18/01/06, Iñaki[EMAIL PROTECTED] escribió: El Miércoles, 18 de Enero de 2006 18:00, ChEnChO escribió: El 18/01/06, Antonio Trujillo Carmona[EMAIL PROTECTED] escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Que no sepas la clave de root lo veo un poco tonto. Simplemente no se la digas a nadie, qué más te da si luego tienes un usuario root? Qué buena apreciación, no me había dado cuenta. El único problema que se me ocurre es pillarse una buena papa e ir soltando la clave de root a cualquier desconocido... ;) Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. Necesitarás la clave de root, pero como no la sabes... En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... Sólo el usuario normal que ha hecho la instalación es quien figura en sudoers. Y sí, puesto que por defecto no se puede usar root alguien tendrá que haber con todos los permisos. No obstante es completamente seguro y funcional, ya que antes de hacer CUALQUIER operación con sudo te pide tu clave de usuario, que sólo tú la sabes. ¿Para qué tener que memorizar dos claves? A mí me parece uno de los mejores inventos (o implementación de algo ya existente) de cara a un Linux para el usuario final. Lo mejor con diferencia. Y yo era el primero de los reacios antes de probarlo, pero desde que lo probé se lo instalo sin ninguna duda a mis amigos y a quien esté interesado en Linux como usuario normal. Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Es mucho más inmanejable para un usuario normal. Además uno se acostumbra increiblemente rápido a ese sistema, por algo será. Y la seguridad repito que es total. Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) ¿es el sudo de Ubuntu buena idea? a) SI * 75% b) NO ** 7% c) N/S * 20% d) Prefiero Windows 0 % Está claro ¿no? Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- ... may the source be with you... -- y hasta aquí puedo leer... Hombre, yo estaba hablando (y creo que el otro listero también) de un sistema compartido del que él va a ser el administrador (si no, no entiendo lo de eliminar root y tal) y en este caso, creo que el dejar al primer lammer que se acerque a un equipo de este estilo la posibilada de hacer un #su rm -Rf / o algo similar me parece un riesgo. Para un equipo personal, de esos que tienes en casa, me parece una gran idea, claro. Pero yo me refería como administrador :) -- ... may the source be with you...
RE: superusuario no root
-Mensaje original- De: ChEnChO [mailto:[EMAIL PROTECTED] Enviado el: Miércoles, 18 de Enero de 2006 14:19 Para: Iñaki CC: debian-user-spanish@lists.debian.org Asunto: Re: superusuario no root El 18/01/06, Iñaki[EMAIL PROTECTED] escribió: El Miércoles, 18 de Enero de 2006 18:00, ChEnChO escribió: El 18/01/06, Antonio Trujillo Carmona[EMAIL PROTECTED] escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Que no sepas la clave de root lo veo un poco tonto. Simplemente no se la digas a nadie, qué más te da si luego tienes un usuario root? Qué buena apreciación, no me había dado cuenta. El único problema que se me ocurre es pillarse una buena papa e ir soltando la clave de root a cualquier desconocido... ;) Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. Necesitarás la clave de root, pero como no la sabes... En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... Sólo el usuario normal que ha hecho la instalación es quien figura en sudoers. Y sí, puesto que por defecto no se puede usar root alguien tendrá que haber con todos los permisos. No obstante es completamente seguro y funcional, ya que antes de hacer CUALQUIER operación con sudo te pide tu clave de usuario, que sólo tú la sabes. ¿Para qué tener que memorizar dos claves? A mí me parece uno de los mejores inventos (o implementación de algo ya existente) de cara a un Linux para el usuario final. Lo mejor con diferencia. Y yo era el primero de los reacios antes de probarlo, pero desde que lo probé se lo instalo sin ninguna duda a mis amigos y a quien esté interesado en Linux como usuario normal. Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Es mucho más inmanejable para un usuario normal. Además uno se acostumbra increiblemente rápido a ese sistema, por algo será. Y la seguridad repito que es total. Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) ¿es el sudo de Ubuntu buena idea? a) SI * 75% b) NO ** 7% c) N/S * 20% d) Prefiero Windows 0 % Está claro ¿no? Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- ... may the source be with you... -- y hasta aquí puedo leer... Hombre, yo estaba hablando (y creo que el otro listero también) de un sistema compartido del que él va a ser el administrador (si no, no entiendo lo de eliminar root y tal) y en este caso, creo que el dejar al primer lammer que se acerque a un equipo de este estilo la posibilada de hacer un #su rm -Rf / o algo similar me parece un riesgo. Para un equipo personal, de esos que tienes en casa, me parece una gran idea, claro. Pero yo me refería como administrador :) -- ... may the source be with you... No, es mucho mejor sudo, de hecho, se pueden escalar permisos en funcion de las partes del sistema de las cuales quieres ceder la administracion, y todo va en la configuracion que tengas en /etc/sudoers si se te ocurre colocar a to2 los usuarios del sistema alla tu y tu seguridad, pero si se administra bien; sudo es una excelente herramienta. smime.p7s Description: S/MIME cryptographic signature
Re: superusuario no root
On Wed, Jan 18, 2006 at 06:08:21PM +0100, Iñaki wrote: [...] Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. [...] No uso Ubuntu asi que perdonen si estoy equivocado, pero lo que dices que al usuario normal se le permiten todos los privilegios, entonces basta con lograr acceso a la cuenta de ese usuario normal para tener acceso a toda la maquina. En contraste, con una clave de root, el comprometer al usuario normal hay que saltar algunas vayas mas para lograr rootear la maquina. En resumen, esa cuenta de usuario al que se le permiten todos los privilegios seria el equivalente a la cuenta root para efectos de romper la seguridad. Me pierdo algo? Blu. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 18:19, ChEnChO escribió: El 18/01/06, Iñaki[EMAIL PROTECTED] escribió: El Miércoles, 18 de Enero de 2006 18:00, ChEnChO escribió: El 18/01/06, Antonio Trujillo Carmona[EMAIL PROTECTED] escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Que no sepas la clave de root lo veo un poco tonto. Simplemente no se la digas a nadie, qué más te da si luego tienes un usuario root? Qué buena apreciación, no me había dado cuenta. El único problema que se me ocurre es pillarse una buena papa e ir soltando la clave de root a cualquier desconocido... ;) Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. Necesitarás la clave de root, pero como no la sabes... En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... Sólo el usuario normal que ha hecho la instalación es quien figura en sudoers. Y sí, puesto que por defecto no se puede usar root alguien tendrá que haber con todos los permisos. No obstante es completamente seguro y funcional, ya que antes de hacer CUALQUIER operación con sudo te pide tu clave de usuario, que sólo tú la sabes. ¿Para qué tener que memorizar dos claves? A mí me parece uno de los mejores inventos (o implementación de algo ya existente) de cara a un Linux para el usuario final. Lo mejor con diferencia. Y yo era el primero de los reacios antes de probarlo, pero desde que lo probé se lo instalo sin ninguna duda a mis amigos y a quien esté interesado en Linux como usuario normal. Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Es mucho más inmanejable para un usuario normal. Además uno se acostumbra increiblemente rápido a ese sistema, por algo será. Y la seguridad repito que es total. Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) ¿es el sudo de Ubuntu buena idea? a) SI * 75% b) NO ** 7% c) N/S * 20% d) Prefiero Windows 0 % Está claro ¿no? Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- ... may the source be with you... -- y hasta aquí puedo leer... Hombre, yo estaba hablando (y creo que el otro listero también) de un sistema compartido del que él va a ser el administrador (si no, no entiendo lo de eliminar root y tal) y en este caso, creo que el dejar al primer lammer que se acerque a un equipo de este estilo la posibilada de hacer un #su rm -Rf / o algo similar me parece un riesgo. Ya, eso sí, de todas formas en Ubuntu también puedes tener un usuario normal con privilegios y en caso de crear otro usuario no darle permisos especiales en sudoers. Para un equipo personal, de esos que tienes en casa, me parece una gran idea, claro. Pero yo me refería como administrador :) Entendido. -- ... may the source be with you... -- y hasta aquí puedo leer...
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 18:27, Blu escribió: On Wed, Jan 18, 2006 at 06:08:21PM +0100, Iñaki wrote: [...] Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. [...] No uso Ubuntu asi que perdonen si estoy equivocado, pero lo que dices que al usuario normal se le permiten todos los privilegios, entonces basta con lograr acceso a la cuenta de ese usuario normal para tener acceso a toda la maquina. En contraste, con una clave de root, el comprometer al usuario normal hay que saltar algunas vayas mas para lograr rootear la maquina. En resumen, esa cuenta de usuario al que se le permiten todos los privilegios seria el equivalente a la cuenta root para efectos de romper la seguridad. Me pierdo algo? Sí, si en Ubuntu consigues la contraseña del usuario normal entonces tienes permisos de root. A cambio nadie sabe la clave de root, que posiblemente sea enorme. En un sistema normal si alguien averigua la clave de root ¡¡¡pues también tiene permisos de root!!! ¿cuál es la diferencia? ¡¡an ambos casos hay que adivinar una contraseña!! -- y hasta aquí puedo leer...
RE: superusuario no root
-Mensaje original- De: Blu [mailto:[EMAIL PROTECTED] Enviado el: Miércoles, 18 de Enero de 2006 14:28 Para: debian-user-spanish@lists.debian.org Asunto: Re: superusuario no root On Wed, Jan 18, 2006 at 06:08:21PM +0100, Iñaki wrote: [...] Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. [...] No uso Ubuntu asi que perdonen si estoy equivocado, pero lo que dices que al usuario normal se le permiten todos los privilegios, entonces basta con lograr acceso a la cuenta de ese usuario normal para tener acceso a toda la maquina. En contraste, con una clave de root, el comprometer al usuario normal hay que saltar algunas vayas mas para lograr rootear la maquina. En resumen, esa cuenta de usuario al que se le permiten todos los privilegios seria el equivalente a la cuenta root para efectos de romper la seguridad. Me pierdo algo? Blu. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] No, de hecho para poder ejecutar alguna tarea como root, aunque ya esten en la shell del usuario sudoer, tienes que conocer la password de ese usuario para poder ejecutar algo con suid 0 smime.p7s Description: S/MIME cryptographic signature
Re: superusuario no root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: El Miércoles, 18 de Enero de 2006 18:27, Blu escribió: On Wed, Jan 18, 2006 at 06:08:21PM +0100, Iñaki wrote: [...] Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. [...] No uso Ubuntu asi que perdonen si estoy equivocado, pero lo que dices que al usuario normal se le permiten todos los privilegios, entonces basta con lograr acceso a la cuenta de ese usuario normal para tener acceso a toda la maquina. En contraste, con una clave de root, el comprometer al usuario normal hay que saltar algunas vayas mas para lograr rootear la maquina. En resumen, esa cuenta de usuario al que se le permiten todos los privilegios seria el equivalente a la cuenta root para efectos de romper la seguridad. Me pierdo algo? Sí, si en Ubuntu consigues la contraseña del usuario normal entonces tienes permisos de root. A cambio nadie sabe la clave de root, que posiblemente sea enorme. En un sistema normal si alguien averigua la clave de root ¡¡¡pues también tiene permisos de root!!! ¿cuál es la diferencia? ¡¡an ambos casos hay que adivinar una contraseña!! Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Solo aclarar que si bien Ubuntu puede serlo perfectamente, no esta orientado a ser un server en produccion, en cuyo caso el sysadmin tomara las precauciones del caso... - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDzn6Hkw12RhFuGy4RAnjYAJ9yKsTlc3/HOLLrWShuQ0Pgdoc8QgCfcUa5 IZ1xvCEeftzBUjdsKfAZJik= =EZrP -END PGP SIGNATURE-
Re: superusuario no root
- Original Message - From: Iñaki Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a ¿Y eso seguro que funciona? quiero decir, realmente que yo sepa el nombre de usuario es lo de menos, lo que cuenta es su uid. ¿¿¿Cómo puedes tener conviviendo al usuario root con otro al que le has puesto uid 0??? Si funciona. En realidad para el sistema es el mismo usuario con dos claves de acceso. De hecho si creas un fichero con el nuevo usuario y haces 'ls -l' te mostrará como propietario root. Puedes hacerlo con cualquier otro UID, pero sigue siendo igual de tonto. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción Supongo (pero no lo prometo) que si tienes definido un usuario en sudoers en el sulogin podrás loguearte con él. No sé si funcionará. En todo caso puedes definir que en modo monousuario no te pida clave. si no recuerdo mal basta con cambiar ~~:S:wait:/sbin/sulogin por ~~:S:wait:/sbin/bash Saludos Guimi http://www.guimi.net -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 18:44, Ricardo Frydman Eureka! escribió: Iñaki wrote: El Miércoles, 18 de Enero de 2006 18:27, Blu escribió: On Wed, Jan 18, 2006 at 06:08:21PM +0100, Iñaki wrote: [...] Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. [...] No uso Ubuntu asi que perdonen si estoy equivocado, pero lo que dices que al usuario normal se le permiten todos los privilegios, entonces basta con lograr acceso a la cuenta de ese usuario normal para tener acceso a toda la maquina. En contraste, con una clave de root, el comprometer al usuario normal hay que saltar algunas vayas mas para lograr rootear la maquina. En resumen, esa cuenta de usuario al que se le permiten todos los privilegios seria el equivalente a la cuenta root para efectos de romper la seguridad. Me pierdo algo? Sí, si en Ubuntu consigues la contraseña del usuario normal entonces tienes permisos de root. A cambio nadie sabe la clave de root, que posiblemente sea enorme. En un sistema normal si alguien averigua la clave de root ¡¡¡pues también tiene permisos de root!!! ¿cuál es la diferencia? ¡¡an ambos casos hay que adivinar una contraseña!! Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. En cambio si estoy en una (K)Ubuntu y quiero instalar un paquete haría: # sudo apt-get install paquete Me pide mi propia clave de usuario y se instala el paquete. Dejo la consola abierta y al de un rato me voy al baño, entonces mi madre se apodera del ordenador y trata de hacer rm / -rf o sudo rm / -rf, y le pedirá la clave de usuario que no sabe por lo que no podrá destrozar el sistema. Es cierto que en Ubuntu también puedes hacer sudo -s ó sudo su, pero no es lo que se enseña a los nuevos usuarios de Linux que usan (K)Ubuntu, en todos los foros, ayudas, etc... se explica sudo apt..., sudo dpkg-reconfigure..., por lo que al final la seguridad para su sistema es mayor que si usase Debian por ejemplo (hablo de ese tipo de usuarios más normales). A mí es que el uso del sudo que se hace en (K)Ubuntu me parece una idea buenísima. Solo aclarar que si bien Ubuntu puede serlo perfectamente, no esta orientado a ser un server en produccion, en cuyo caso el sysadmin tomara las precauciones del caso... No sé yo hasta qué punto Ubuntu lo pone fácil para ser un servidor. El otro día lo instalé en un ordenador para ser el servidor de impresión mediante CUPS y me encontré con la desagradable sorpresa de que por defecto CUPS sólo escuchaba en localhost y no a la red. Esto en Debian no es así. Cierto es que se puede modificar y todo, faltaría más, pero ya para empezar es una pega ¿no? PD: Ese problema lo tuvo también este señor: http://mnm.uib.es/gallir/posts/2005/08/27/401/ Saludos. -- y hasta aquí puedo leer...
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 18:53, Guimi escribió: - Original Message - From: Iñaki Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a ¿Y eso seguro que funciona? quiero decir, realmente que yo sepa el nombre de usuario es lo de menos, lo que cuenta es su uid. ¿¿¿Cómo puedes tener conviviendo al usuario root con otro al que le has puesto uid 0??? Si funciona. En realidad para el sistema es el mismo usuario con dos claves de acceso. De hecho si creas un fichero con el nuevo usuario y haces 'ls -l' te mostrará como propietario root. Puedes hacerlo con cualquier otro UID, pero sigue siendo igual de tonto. Vaya, curioso. Así que entonces no sirve de nada. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción Supongo (pero no lo prometo) que si tienes definido un usuario en sudoers en el sulogin podrás loguearte con él. No sé si funcionará. En todo caso puedes definir que en modo monousuario no te pida clave. si no recuerdo mal basta con cambiar ~~:S:wait:/sbin/sulogin por ~~:S:wait:/sbin/bash Sí, eso es, pero ojo: /bin/bash (habías puesto SBIN) ;) Saludos Guimi http://www.guimi.net -- y hasta aquí puedo leer...
Re: superusuario no root
- Original Message - From: Iñaki ¿es el sudo de Ubuntu buena idea? a) SI * 75% b) NO ** 7% c) N/S * 20% d) Prefiero Windows 0 % Eso suma el 102% X-? Está claro ¿no? No :-P Saludos Guimi http://www.guimi.net -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 18:59, Guimi escribió: - Original Message - From: Iñaki ¿es el sudo de Ubuntu buena idea? a) SI * 75% b) NO ** 7% c) N/S * 20% d) Prefiero Windows 0 % Eso suma el 102% X-? ¡Pucherazo pucherazo! -- y hasta aquí puedo leer...
Re: superusuario no root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. En cambio si estoy en una (K)Ubuntu y quiero instalar un paquete haría: # sudo apt-get install paquete Me pide mi propia clave de usuario y se instala el paquete. Dejo la consola abierta y al de un rato me voy al baño, entonces mi madre se apodera del ordenador y trata de hacer rm / -rf o sudo rm / -rf, y le pedirá la clave de usuario que no sabe por lo que no podrá destrozar el sistema. Cierto, pero si como usuario comun y corriente, corres una aplicacion vulnerable, con la tan mala suerte que alguien lo descubre y accesa a tu PC como usuario /comun/ esta a un pasito de convertirse en Ruth...entiendes mi punto? Es cierto que en Ubuntu también puedes hacer sudo -s ó sudo su, pero no es lo que se enseña a los nuevos usuarios de Linux que usan (K)Ubuntu, en todos los foros, ayudas, etc... se explica sudo apt..., sudo dpkg-reconfigure..., por lo que al final la seguridad para su sistema es mayor que si usase Debian por ejemplo (hablo de ese tipo de usuarios más normales). A mí es que el uso del sudo que se hace en (K)Ubuntu me parece una idea buenísima. /me too, pero lo argumentado era otra cosa. Y hay que reconocer que tiene su parte de razon. Solo aclarar que si bien Ubuntu puede serlo perfectamente, no esta orientado a ser un server en produccion, en cuyo caso el sysadmin tomara las precauciones del caso... No sé yo hasta qué punto Ubuntu lo pone fácil para ser un servidor. Facil? quien hablo de eso? El otro día lo instalé en un ordenador para ser el servidor de impresión mediante CUPS y me encontré con la desagradable sorpresa de que por defecto CUPS sólo escuchaba en localhost y no a la red. Esto en Debian no es así. Cierto es que se puede modificar y todo, faltaría más, pero ya para empezar es una pega ¿no? PD: Ese problema lo tuvo también este señor: http://mnm.uib.es/gallir/posts/2005/08/27/401/ Saludos. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDzocUkw12RhFuGy4RAgqKAJ9GXka3D3E8+lOV/xXtgpo4OAivgQCfah4t SX3ttFZeAuX9wgZ9BUnCrek= =2bjI -END PGP SIGNATURE-
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. -- y hasta aquí puedo leer...
Re: superusuario no root
On Wed, Jan 18, 2006 at 07:31:56PM +0100, Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Si tengo control de la cuenta de usuario normal, tengo control sobre la clave, que es equivalente a tener clave de root en Ubuntu. Ejemplo Ubuntu: Como usuario normal privilegiado usas un P2P con un agujero. Yo me pongo mi sombrero negro y escaneando descubro que hay un programa vulnerable a la escucha en una puerta . Voy y entro por ahi, preparandome para buscar una vulnerabilidad local para rootear. Pero si es una Ubuntu!, grito saltando de alegria. Cambio la clave del usuario normal sin mas tramite, si quiero cambio la clave de root tambien, y procedo a instalar mi rootkit preferido. Convierto tu maquina en servidor de pornografia infantil, borro mis huellas y luego me siento a mirar como la policia llega pateando tu puerta. Ejemplo Debian: Como usuario normal sin privilegios usas un P2P con un agujero. Me pongo nuevamente mi sombrero negro, escaneo, descubro el programa vulnerable en la puerta y entro. Como tienes tu sistema bien actualizado y cuidado, me paso la noche intentando escalar privilegios pero finalmente me voy a dormir sin haber siquiera podido borrar mis huellas. Mas tarde tu notas en tus logs mucha actividad sospechosa, tienes mi IP en el log. Notificas a mi ISP y a la policia y te sientas a ver como llegan pateando MI puerta. Blu. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 19:41, Blu escribió: On Wed, Jan 18, 2006 at 07:31:56PM +0100, Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Si tengo control de la cuenta de usuario normal, tengo control sobre la clave, que es equivalente a tener clave de root en Ubuntu. ¡¡NO!! y NO y NO y NO. Deduzco que estás usando Debian ahora mismo como usuario normal. Pues bien, NINGUNO de los programas que lances o que has lanzado saben TU clave de usuario, NINGUNO. En Ubuntu sólo puedes hacer cosas privilegiadas haciendo sudo e INTRODUCIENDO NECESARIAMENTE TU CLAVE DE USUARIO para que se te concedan esos permisos. Y ya digo arriba que NINGUN programa sabe esa clave. Sólo tú como persona la conoce, nadie más. Ejemplo Ubuntu: Como usuario normal privilegiado usas un P2P con un agujero. Yo me pongo mi sombrero negro y escaneando descubro que hay un programa vulnerable a la escucha en una puerta . Voy y entro por ahi, preparandome para buscar una vulnerabilidad local para rootear. Pero si es una Ubuntu!, grito saltando de alegria. Hasta aquí de acuerdo, lo mismo en cualquier sistema. Cambio la clave del usuario normal sin mas tramite, si quiero cambio la clave de root tambien, y procedo a instalar mi rootkit preferido. No, no puedes porque no sabes MI clave de USUARIO. Sorry. Convierto tu maquina en servidor de pornografia infantil, borro mis huellas y luego me siento a mirar como la policia llega pateando tu puerta. Eso no pasó, lo siento. Ejemplo Debian: Como usuario normal sin privilegios usas un P2P con un agujero. Me pongo nuevamente mi sombrero negro, escaneo, descubro el programa vulnerable en la puerta y entro. Como tienes tu sistema bien actualizado y cuidado, me paso la noche intentando escalar privilegios pero finalmente me voy a dormir sin haber siquiera podido borrar mis huellas. Mas tarde tu notas en tus logs mucha actividad sospechosa, tienes mi IP en el log. Notificas a mi ISP y a la policia y te sientas a ver como llegan pateando MI puerta. De acuerdo. Saludos ;) -- y hasta aquí puedo leer...
Re: superusuario no root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Fijate que pasa si como usuario comun escribes passwd y entenderas el peligro, Iñaki! - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDzpJbkw12RhFuGy4RAmTUAJ9RLpxvHA8/WQS9B+Op2V3qHKC8HQCgifpp 7Ot+THjWpHG9/1BcW+0SfqI= =Mq/0 -END PGP SIGNATURE-
Re: superusuario no root
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Blu wrote: On Wed, Jan 18, 2006 at 07:31:56PM +0100, Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Si tengo control de la cuenta de usuario normal, tengo control sobre la clave, que es equivalente a tener clave de root en Ubuntu. Ejemplo Ubuntu: Como usuario normal privilegiado usas un P2P con un agujero. Yo me pongo mi sombrero negro y escaneando descubro que hay un programa vulnerable a la escucha en una puerta . Voy y entro por ahi, preparandome para buscar una vulnerabilidad local para rootear. Pero si es una Ubuntu!, grito saltando de alegria. Cambio la clave del usuario normal sin mas tramite, si quiero cambio la clave de root tambien, y procedo a instalar mi rootkit preferido. Convierto tu maquina en servidor de pornografia infantil, borro mis huellas y luego me siento a mirar como la policia llega pateando tu puerta. Ejemplo Debian: Como usuario normal sin privilegios usas un P2P con un agujero. Me pongo nuevamente mi sombrero negro, escaneo, descubro el programa vulnerable en la puerta y entro. Como tienes tu sistema bien actualizado y cuidado, me paso la noche intentando escalar privilegios pero finalmente me voy a dormir sin haber siquiera podido borrar mis huellas. Mas tarde tu notas en tus logs mucha actividad sospechosa, tienes mi IP en el log. Notificas a mi ISP y a la policia y te sientas a ver como llegan pateando MI puerta. Nunca mejor explicado. B) Solo una aclaracion, ademas de Ubuntus, cualquier distro que use sudo con la combinacion user ALL = PASSWD:ALL en su sudoers tendra el mismo efecto. Blu. - -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: [EMAIL PROTECTED] - http://www.eureka-linux.com.ar SIP # 1-747-667-9534 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) iD8DBQFDzpU0kw12RhFuGy4RAiDqAKCFYjorw8dZ5bnrzrOk7zashHn++ACfTMQ0 VIS5Ry80SaWThgHihW+S0jM= =Cn9V -END PGP SIGNATURE-
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 20:09, Ricardo Frydman Eureka! escribió: Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Fijate que pasa si como usuario comun escribes passwd y entenderas el peligro, Iñaki! Pues ocurre esto: ~ $ passwd Changing password for ibc (current) UNIX password: Así que para poder cambiar mi propio password necesito IMPRESCINDIBLEMENTE introducir mi password. Así que cualquier aplicación troyana que deses cambiar mi password debería también conocerlo. Tendrás que esforzarte un poco más ;) -- y hasta aquí puedo leer...
Re: superusuario no root
El Miércoles, 18 de Enero de 2006 20:21, Ricardo Frydman Eureka! escribió: Blu wrote: On Wed, Jan 18, 2006 at 07:31:56PM +0100, Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Si tengo control de la cuenta de usuario normal, tengo control sobre la clave, que es equivalente a tener clave de root en Ubuntu. Ejemplo Ubuntu: Como usuario normal privilegiado usas un P2P con un agujero. Yo me pongo mi sombrero negro y escaneando descubro que hay un programa vulnerable a la escucha en una puerta . Voy y entro por ahi, preparandome para buscar una vulnerabilidad local para rootear. Pero si es una Ubuntu!, grito saltando de alegria. Cambio la clave del usuario normal sin mas tramite, si quiero cambio la clave de root tambien, y procedo a instalar mi rootkit preferido. Convierto tu maquina en servidor de pornografia infantil, borro mis huellas y luego me siento a mirar como la policia llega pateando tu puerta. Ejemplo Debian: Como usuario normal sin privilegios usas un P2P con un agujero. Me pongo nuevamente mi sombrero negro, escaneo, descubro el programa vulnerable en la puerta y entro. Como tienes tu sistema bien actualizado y cuidado, me paso la noche intentando escalar privilegios pero finalmente me voy a dormir sin haber siquiera podido borrar mis huellas. Mas tarde tu notas en tus logs mucha actividad sospechosa, tienes mi IP en el log. Notificas a mi ISP y a la policia y te sientas a ver como llegan pateando MI puerta. Nunca mejor explicado. Sigo con mi cabezonería, a mí lo de arriba no me sirve, lo siento. Sigue haciendo falta conocer la clave del usuario y eso sólo el propio usuario como ser humano la sabe. -- y hasta aquí puedo leer...
Re: superusuario no root
On Wednesday 18 January 2006 20:09, Ricardo Frydman Eureka! wrote: Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Fijate que pasa si como usuario comun escribes passwd y entenderas el peligro, Iñaki! Pues no le veo tanto problema, porque si como usuario normal escribes passwd te pide la contraseña actual para cambiarla. Ricardo, no se si ibas por otro lado, que tambien puede ser, pero a estas horas (21:45 España) despues del día de trabajo que he tenido no capto ni una. Si te referías a otra cosa ya nos dirás. Saludos PD: Ricardo, te habra llegado antes como privado. Sorry, mi empane me hizo pulsar sobre reply en lugar de reply to list :D pgpy2Enre4qeT.pgp Description: PGP signature
Re: superusuario no root
El mié, 18-01-2006 a las 18:53 +0100, Guimi escribió: Supongo (pero no lo prometo) que si tienes definido un usuario en sudoers en el sulogin podrás loguearte con él. No sé si funcionará. En todo caso puedes definir que en modo monousuario no te pida clave. si no recuerdo mal basta con cambiar ~~:S:wait:/sbin/sulogin por ~~:S:wait:/sbin/bash Esto es mas o menos lo que quería y no generar una guerra a favor o en contra de sudo. Para aclara se trata de servidores administrados por muchas personas, para los administradores (en minúsculas) se usa sudo, para los ADMINISTRADORES el usuario equivalente a root y para mi que soy quien instala el debian me reservo la clave de root, pero no quiero decirsela a nadie ni que me tengan que llamar en caso de un arranque fallido en modo monousuario, como esto es algo inevitable pensando me pregunte como lo haría un ubuntero al que entrara en modo monousuario y no supiera la clave de root. De todas formas hay un problema en usar bash como sustituto de login y es que alguien podría ponerse a encender y apagar maliciosamente esperando el fallo para tomar control de superusuario (yo lo he hecho con ordenadores windows protegidos para obligarlos a entrar en modo a prueba de fallos y saltarme la protección). En alguna instalación he visto que en lugar de sulogin usa bash --login pero sigue pidiendo la clave de root ¿funcionaria con su usuario -c bash --login? ¿Como puedo desde el grub forzar entrar en modo monousuario para testearlo? -- Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El mié, 18-01-2006 a las 18:08 +0100, Iñaki escribió: El Miércoles, 18 de Enero de 2006 17:52, Antonio Trujillo Carmona escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. ¿Y eso seguro que funciona? quiero decir, realmente que yo sepa el nombre de usuario es lo de menos, lo que cuenta es su uid. ¿¿¿Cómo puedes tener conviviendo al usuario root con otro al que le has puesto uid 0??? por que no?? el unico inconveniente es que si el usuario pepe tiene uid 0 y gid 0 en todos los logs aparecera como root Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. Supongo (pero no lo prometo) que si tienes definido un usuario en sudoers en el sulogin podrás loguearte con él. el sulogin te pide la passwd de root o Ctrl +D para continuar, no tiene nada que ver con sudo. /etc/sudoers es para definir usuarios y grupos y... etc que pueden utilizar el comando sudo -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part
Re: superusuario no root
El mié, 18-01-2006 a las 18:00 +0100, ChEnChO escribió: El 18/01/06, Antonio Trujillo Carmona[EMAIL PROTECTED] escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Que no sepas la clave de root lo veo un poco tonto. Simplemente no se la digas a nadie, qué más te da si luego tienes un usuario root? Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. Necesitarás la clave de root, pero como no la sabes... Nesecitara la clave del usuario que tenga id 0 y gid 0 cualquier usuario con esos id y gid puede entrar En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- ... may the source be with you... -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part
Re: superusuario no root
El Jueves, 19 de Enero de 2006 00:11, Angel Claudio Alvarez escribió: El mié, 18-01-2006 a las 18:08 +0100, Iñaki escribió: El Miércoles, 18 de Enero de 2006 17:52, Antonio Trujillo Carmona escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. ¿Y eso seguro que funciona? quiero decir, realmente que yo sepa el nombre de usuario es lo de menos, lo que cuenta es su uid. ¿¿¿Cómo puedes tener conviviendo al usuario root con otro al que le has puesto uid 0??? por que no?? el unico inconveniente es que si el usuario pepe tiene uid 0 y gid 0 en todos los logs aparecera como root Sí, entendido, ya me lo habían comentado hace un rato. Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. Supongo (pero no lo prometo) que si tienes definido un usuario en sudoers en el sulogin podrás loguearte con él. el sulogin te pide la passwd de root o Ctrl +D para continuar, no tiene nada que ver con sudo. /etc/sudoers es para definir usuarios y grupos y... etc que pueden utilizar el comando sudo Sí, pero me vienen a la mente algunas cosas de Kubuntu por las que decía eso: En KDE de Debian, si por ejemplo entras en el Centro de Control y vas a la parte de Redo quieres cambiar la hora del sistema, entonces tienes que pinchar en Modo administrador, y en otros casos sale el cuadro de diálogo kdesu pidiendo que introduzcas la clave de root para efectuar algo (por ejemplo para activar los permisos de grabación de CD's para K3B). En ninguna de esas peticiones se da la posibilidad de cambiar el usuario, sólo pide la contraseña y por supuesto metiendo al de root funciona (evidentemente). El caso es que en Kubuntu (donde nadie sabe la password de root y el usuario normal está en sudoers) vas a los mismos sitios en los que te pide la clave e introduciendo la de tu usuario te permite el acceso. Es decir, en ningún sitio le dices que quieres acceder como usuario normal y no como root, ya que sólo te permite poner la clave. Parece como que al meter la clave de un usuario perteneciente a sudoers el sistema de alguna forma la comprueba y permite el acceso con ella. Me preguntaba si tal vez también podría ocurrir eso en tu caso. O tal vez simplemente resulte que los paquetes de KDE de Kubuntu están modificados para que no pida la clave de root sino del usuario normal, no lo sé... -- y hasta aquí puedo leer...
Re: superusuario no root
El mié, 18-01-2006 a las 20:12 -0300, Angel Claudio Alvarez escribió: El mié, 18-01-2006 a las 18:00 +0100, ChEnChO escribió: El 18/01/06, Antonio Trujillo Carmona[EMAIL PROTECTED] escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. Que no sepas la clave de root lo veo un poco tonto. Simplemente no se la digas a nadie, qué más te da si luego tienes un usuario root? Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. Necesitarás la clave de root, pero como no la sabes... Nesecitara la clave del usuario que tenga id 0 y gid 0 cualquier usuario Necesitara ( que bestia!) con esos id y gid puede entrar En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? -- Lo único que hace ubuntu es que no asigna esa contraseña al root, pero se le puede poner una. Ubuntu trabaja con sudo que hace más o menos lo mismo y que yo creo que es arriesgado su uso. Cualquier usuario que se encuentre en sudoers puede hacer cualquier cosa en el sistema... pues como que no me gusta... Si, ya se que es configurable, pero... no es más fácil que sólo lo pueda tocar root? Si estoy equivocado, pido el comodín de la lista (para los usuarios españoles que vean 50x15 ) Antonio Trujillo Carmona [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- ... may the source be with you... -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part
Re: superusuario no root
El jue, 19-01-2006 a las 00:32 +0100, Iñaki escribió: El Jueves, 19 de Enero de 2006 00:11, Angel Claudio Alvarez escribió: El mié, 18-01-2006 a las 18:08 +0100, Iñaki escribió: El Miércoles, 18 de Enero de 2006 17:52, Antonio Trujillo Carmona escribió: Por medidas de seguridad quiero eliminar el uso de root, para esto he creado un nuvo usuario con giud 0 y uid 0 al que le he dado clave y a root le he puesto una aleatoria que nadie (ni yo) la save, todo va muy bien pero tengo una duda. ¿Y eso seguro que funciona? quiero decir, realmente que yo sepa el nombre de usuario es lo de menos, lo que cuenta es su uid. ¿¿¿Cómo puedes tener conviviendo al usuario root con otro al que le has puesto uid 0??? por que no?? el unico inconveniente es que si el usuario pepe tiene uid 0 y gid 0 en todos los logs aparecera como root Sí, entendido, ya me lo habían comentado hace un rato. Si por problemas fracasa en el chequeoi del sistema de ficheros durante el arranque y va a modo mono usuario ¿me admitira el passwd del nuevo usuario o tendre que poner el que no se?, como en este caso no te pide usuario, si no que simplemente te pide que introduzcas la contraseña de root o pulses Ctrl + D, no se que pasara. En el initab veo que es donde se le dice que si esta en modo monousuario tiene que hacer ~~:S:wait:/sbin/sulogin pero sulogin no tine opción para indicarle que usuario usar. ¿Como lo hace ubuntu en el que se supone que nadie tiene la clave de root y ni siquiera existe un usuario alternativo con sus privilegios? Ubuntu usa sudo para el usuario normal, esto lo puedes ver en el archivo /etc/sudoers en el que se muestra como al usuario normal se le permiten todos los privilegios pero DEBE ingresar SU propia contraseña para ello. Supongo (pero no lo prometo) que si tienes definido un usuario en sudoers en el sulogin podrás loguearte con él. el sulogin te pide la passwd de root o Ctrl +D para continuar, no tiene nada que ver con sudo. /etc/sudoers es para definir usuarios y grupos y... etc que pueden utilizar el comando sudo Sí, pero me vienen a la mente algunas cosas de Kubuntu por las que decía eso: En KDE de Debian, si por ejemplo entras en el Centro de Control y vas a la parte de Redo quieres cambiar la hora del sistema, entonces tienes que pinchar en Modo administrador, y en otros casos sale el cuadro de diálogo kdesu pidiendo que introduzcas la clave de root para efectuar algo (por ejemplo para activar los permisos de grabación de CD's para K3B). En ninguna de esas peticiones se da la posibilidad de cambiar el usuario, sólo pide la contraseña y por supuesto metiendo al de root funciona (evidentemente). El caso es que en Kubuntu (donde nadie sabe la password de root y el usuario normal está en sudoers) vas a los mismos sitios en los que te pide la clave e introduciendo la de tu usuario te permite el acceso. Es decir, en ningún sitio le dices que quieres acceder como usuario normal y no como root, ya que sólo te permite poner la clave. Parece como que al meter la clave de un usuario perteneciente a sudoers el sistema de alguna forma la comprueba y permite el acceso con ella. Me preguntaba si tal vez también podría ocurrir eso en tu caso. O tal vez simplemente resulte que los paquetes de KDE de Kubuntu están modificados para que no pida la clave de root sino del usuario normal, no lo sé... Es lo mas probable -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part
Re: superusuario no root
El Jueves, 19 de Enero de 2006 00:32, Iñaki escribió: El caso es que en Kubuntu (donde nadie sabe la password de root y el usuario normal está en sudoers) vas a los mismos sitios en los que te pide la clave e introduciendo la de tu usuario te permite el acceso. Es decir, en ningún sitio le dices que quieres acceder como usuario normal y no como root, ya que sólo te permite poner la clave. Parece como que al meter la clave de un usuario perteneciente a sudoers el sistema de alguna forma la comprueba y permite el acceso con ella. Me preguntaba si tal vez también podría ocurrir eso en tu caso. O tal vez simplemente resulte que los paquetes de KDE de Kubuntu están modificados para que no pida la clave de root sino del usuario normal, no lo sé... Me respondo yo mismo: Resulta que yo ya tenía en mi Debian a mi usuario dentro de sudoers. Así que he probado a cambiar la hora del sistema en KDE pero cuando me pide el password SOLO vale el de root, no vale el de mi usuario aunqeu tenga todos los permisos por haber. Mi conclusión es entonces que los paquetes de KDE y de Gnome están modificados para que en vez de pedir al clave de root pidan un sudo. ¿Me puedo equivocar? -- y hasta aquí puedo leer...
Re: superusuario no root
El Miércoles 18 Enero 2006 16:09, Ricardo Frydman Eureka! escribió: Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Fijate que pasa si como usuario comun escribes passwd y entenderas el peligro, Iñaki! jajaja!!! Me parece que hace mucho que no entrás como usuario común Si ponés passwd como usuario común, lo primero que hace es pedirte tu contraseña de usuario!! Ricardo
Re: superusuario no root
On Wed, Jan 18, 2006 at 07:57:54PM +0100, Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:41, Blu escribió: [...] Cambio la clave del usuario normal sin mas tramite, si quiero cambio la clave de root tambien, y procedo a instalar mi rootkit preferido. [...] No, no puedes porque no sabes MI clave de USUARIO. Sorry. Pues es verdad. Como dije no uso Ubuntu ni sudo, y veo que el problema no es tan malo como me imaginaba. Me sigue dando escozor, sin embargo, el usar mucho una clave que sirve para convertirse en root. La clave de root yo la tipeo solo cuando tengo que convertirme en root y para nada mas, y solo cuando estoy sentado frente a la consola. Ubuntu se dice por ahi que esta pensado para usuarios no tecnicos. Se me hace muy plausible entonces el escenario en que un usuario se conecta a su maquina desde algun lugar poco seguro, como un ciber por ejemplo. El resto se lo imaginaran. Blu. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
El Jueves, 19 de Enero de 2006 00:54, Blu escribió: On Wed, Jan 18, 2006 at 07:57:54PM +0100, Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:41, Blu escribió: [...] Cambio la clave del usuario normal sin mas tramite, si quiero cambio la clave de root tambien, y procedo a instalar mi rootkit preferido. [...] No, no puedes porque no sabes MI clave de USUARIO. Sorry. Pues es verdad. Como dije no uso Ubuntu ni sudo, y veo que el problema no es tan malo como me imaginaba. Me sigue dando escozor, sin embargo, el usar mucho una clave que sirve para convertirse en root. La clave de root yo la tipeo solo cuando tengo que convertirme en root y para nada mas, y solo cuando estoy sentado frente a la consola. Sí, pero los usuarios necesitan instalar programas, hardware, etc... al igual que hacen o hacían en su Windows, no siempre son oficinistas cuyos ordenadores son administrados exclusivamente por los encargados de sistemas de la empresa. Ubuntu se dice por ahi que esta pensado para usuarios no tecnicos. Se me hace muy plausible entonces el escenario en que un usuario se conecta a su maquina desde algun lugar poco seguro, como un ciber por ejemplo. El resto se lo imaginaran. No, es imposible, Ubuntu de serie viene sin servidor SSH instalado y un usuario no técnico dudo que tenga especial interés en activar esa funcionalidad. Además, el acceso por SSH siempre es seguro pues la clave nunca va en texto plano, aunque desde un cyber ni yo me fiaría. De todas formas dudo que los cibers con Windows tengan Putty instalado, aunque he visto muchos cibers con Linux (por lo que me fiaría más). Blu. -- y hasta aquí puedo leer...
Re: superusuario no root
El Jueves, 19 de Enero de 2006 00:52, Ricardo Araoz escribió: El Miércoles 18 Enero 2006 16:09, Ricardo Frydman Eureka! escribió: Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Fijate que pasa si como usuario comun escribes passwd y entenderas el peligro, Iñaki! jajaja!!! Me parece que hace mucho que no entrás como usuario común Si ponés passwd como usuario común, lo primero que hace es pedirte tu contraseña de usuario!! Exacto. Extraído del manual de passwd: The user is first prompted for his/her old password, if one is present. This password is then encrypted and compared against the stored password. The user has only one chance to enter the correct password. The super user is permitted to bypass this step so that forgotten passwords may be changed. -- y hasta aquí puedo leer...
Re: superusuario no root
Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:41, Blu escribió: On Wed, Jan 18, 2006 at 07:31:56PM +0100, Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:21, Ricardo Frydman Eureka! escribió: Iñaki wrote: Entiendo que el compañero se refiere al potencial uso como un usuario normal de aplicaciones que normalmente no lanzarias como Ruth y que puedan tener alguna vulnerabilidad conocida o no. En ese caso, no queda mas que aceptar ese argumento. Yo es que lo veo justamente al revés, sé de muchos casos de usuarios que se meten en Linux y ante el primer problema de permisos recurren a hacer todo como root, incluso arrancar su KDE o Gnome (y luego encima se quejan de que no pueden entrar en KDE como root). son 2 instancias diferentes: en una el problema puede ser externo, en el otro, al frente de la PC, interno. Yo mismo en mi Debian muchas veces estoy en una consola logueado como root y la dejo abierta (porque se me olvida cerrarla o porque voy al baño). En esos momentos podría venir mi madre y hacer un rm / -rf. Fijate que yo te estoy hablando de otra cosa: vulnerabilidades. Hay muchas mas probabilidades que corras aplicaciones vulnerables al nivel de usuario comun , que como root. Pero estamos en las mismas, cualquier aplicación corriendo como usuario normal que trate de ejecutar un comando privilegiado con sudo... no podrá hacerlo pues debería ingresar la clave de usuario que por supuesto NO sabe. Sólo el propio usuario sabe su clave, yo no veo dónde está el peligro. Si tengo control de la cuenta de usuario normal, tengo control sobre la clave, que es equivalente a tener clave de root en Ubuntu. ¡¡NO!! y NO y NO y NO. Deduzco que estás usando Debian ahora mismo como usuario normal. Pues bien, NINGUNO de los programas que lances o que has lanzado saben TU clave de usuario, NINGUNO. En Ubuntu sólo puedes hacer cosas privilegiadas haciendo sudo e INTRODUCIENDO NECESARIAMENTE TU CLAVE DE USUARIO para que se te concedan esos permisos. Y ya digo arriba que NINGUN programa sabe esa clave. Sólo tú como persona la conoce, nadie más. Ejemplo Ubuntu: Como usuario normal privilegiado usas un P2P con un agujero. Yo me pongo mi sombrero negro y escaneando descubro que hay un programa vulnerable a la escucha en una puerta . Voy y entro por ahi, preparandome para buscar una vulnerabilidad local para rootear. Pero si es una Ubuntu!, grito saltando de alegria. Hasta aquí de acuerdo, lo mismo en cualquier sistema. Cambio la clave del usuario normal sin mas tramite, si quiero cambio la clave de root tambien, y procedo a instalar mi rootkit preferido. No, no puedes porque no sabes MI clave de USUARIO. Sorry. Aunque todos sabemos que la mayoria se eligen una clave del tipo zxxxzac541cdlpLL,p.Q901J para el root, y claves como JuAnCiTo9322 para el usuario comun (cuando muy complicado). No creo que un ataque de fuerza bruta demore mucho con un usuario comun (y con comun me refiero sobre todo a los provenientes de Windows, que ni siquiera saben que hay un administrador con privilegios para todo, y que ellos están como tal todo el tiempo). Es raro que los usuarios hogareños de windows elijan una contraseña segura (mi familia no lo hace ni a pedido expreso). Simplemente no saben lo que es la seguridad, y dicen y quien va a querer entrar acá??; o simplemente creen que las invasiones a sistemas sólo ocurren en peliculas de Angelina Jolie. Saludos. -- Cheers -- Gabriel Parrondo Linux User #404138 In theory there's no difference between the theory and the practice. In the practice There is. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: superusuario no root
Iñaki wrote: El Jueves, 19 de Enero de 2006 00:54, Blu escribió: On Wed, Jan 18, 2006 at 07:57:54PM +0100, Iñaki wrote: El Miércoles, 18 de Enero de 2006 19:41, Blu escribió: [...] Cambio la clave del usuario normal sin mas tramite, si quiero cambio la clave de root tambien, y procedo a instalar mi rootkit preferido. [...] No, no puedes porque no sabes MI clave de USUARIO. Sorry. Pues es verdad. Como dije no uso Ubuntu ni sudo, y veo que el problema no es tan malo como me imaginaba. Me sigue dando escozor, sin embargo, el usar mucho una clave que sirve para convertirse en root. La clave de root yo la tipeo solo cuando tengo que convertirme en root y para nada mas, y solo cuando estoy sentado frente a la consola. Sí, pero los usuarios necesitan instalar programas, hardware, etc... al igual que hacen o hacían en su Windows, no siempre son oficinistas cuyos ordenadores son administrados exclusivamente por los encargados de sistemas de la empresa. Ubuntu se dice por ahi que esta pensado para usuarios no tecnicos. Se me hace muy plausible entonces el escenario en que un usuario se conecta a su maquina desde algun lugar poco seguro, como un ciber por ejemplo. El resto se lo imaginaran. No, es imposible, Ubuntu de serie viene sin servidor SSH instalado y un usuario no técnico dudo que tenga especial interés en activar esa funcionalidad. Además, el acceso por SSH siempre es seguro pues la clave nunca va en texto plano, aunque desde un cyber ni yo me fiaría. De todas formas dudo que los cibers con Windows tengan Putty instalado, aunque he visto muchos cibers con Linux (por lo que me fiaría más). Cyber? tanto tiempo sin uno... :-P Yo en los cyber ni siquiera abro mi mail, suelo ir para abrir adjuntos en los que no confío y que me dan curiosidad (obvio, los reenvio a un hotmail y los abro en el cyber) En serio, no les confio nada... por mas que ahora sean mas seguros que hace 2 o 3 años (cuando hasta yo podia instalar un keylogger), quien me asegura que el dueño no instaló uno?? Saludos. -- Cheers -- Gabriel Parrondo Linux User #404138 In theory there's no difference between the theory and the practice. In the practice There is. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]