From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Dmitry V. Levin" To: Linux-Mandrake Russian Edition Mailing List Subject: Re: [mdk-re] multiple root logins Message-ID: <20010118023613.B26128@LDV.fandra.org> Mail-Followup-To: "Dmitry V. Levin" , Linux-Mandrake Russian Edition Mailing List References: <74678587296.20010116144104@zuzusoft.com> <20010117034416.A4234@LDV.fandra.org> <1807225392.20010117152350@otstavnov.com> <55776508760.20010117175306@zuzusoft.com> <2917267384.20010117181111@otstavnov.com> Mime-Version: 1.0 Content-Type: multipart/signed; micalg=pgp-sha1; protocol="application/pgp-signature"; boundary="gatW/ieO32f1wygP" Content-Disposition: inline In-Reply-To: <2917267384.20010117181111@otstavnov.com>; from maksim@otstavnov.com on Wed, Jan 17, 2001 at 06:11:11PM +0300 Sender: mandrake-russian-admin@linuxteam.iplabs.ru Errors-To: mandrake-russian-admin@linuxteam.iplabs.ru X-BeenThere: mandrake-russian@linuxteam.iplabs.ru X-Mailman-Version: 2.0 Precedence: bulk Reply-To: mandrake-russian@linuxteam.iplabs.ru List-Help: List-Post: List-Subscribe: , List-Id: Mandrake/RE discussion list List-Unsubscribe: , List-Archive: Date: Thu Jan 18 02:30:01 2001 X-Original-Date: Thu, 18 Jan 2001 02:36:13 +0300 Archived-At: List-Archive: --gatW/ieO32f1wygP Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit On Wed, Jan 17, 2001 at 06:11:11PM +0300, Maksim Otstavnov wrote: > MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя > MO>> пользователями под одним UID как некорректную. > AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на > AKJ> практике так не бывает, а такое решение дает свои преимущества > > Вполне возможно, что они кажущиеся. Практически в любой ситуации можно > найти решение делегированием прав на отдельные каталоги/файлы > администраторам, не являющимся суперпользователями, через механизм > групп. Я не говорил "в любой", я сказал "практически в любой", > обратите внимание. А с применением capabilities и sudo - тем более. > MO>> А ситуацию с двумя > MO>> UID==0 как серьезную дыру в безопасности хоста. > AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому > AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например > AKJ> и т.д., но почему сразу - дыра? > > "Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы > напугать собеседника/клиента. По большому счету, проблем от того, что > в юниксах есть _один_ рут - уже достаточно. Это само по себе > большая... ослабление. Конечно, не дыра, но weakness, на которую будут обращать Ваше внимание при любой возникающей проблеме. > MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми > MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим > MO>> связанных). Все верно, если интересуют детали, то происходит pw = getpwuid(getuid()), в виду чего используется только одно username, а именно первое с данным UID. Думаю, не будет беды, если расширить этот алгоритм (грубо говоря) до pw = getpwnam(getenv(LOGNAME)) при условии (pw->pw_uid == getuid()). Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@fandra.org Software Engineer PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html IPLabs Linux Team http://linux.iplabs.ru Fandra Project http://www.fandra.org +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. --gatW/ieO32f1wygP Content-Type: application/pgp-signature Content-Disposition: inline -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.0.4 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE6ZixsZqIoNiVITrsRAmzlAJ94XcxyYsjLIzDTfUDzvkvYVtCVCwCfej/X e27jItJSXYdctI6buRy3lQE= =B6ct -----END PGP SIGNATURE----- --gatW/ieO32f1wygP--