[mdk-re] multiple root logins

[mdk-re] multiple root logins

[Artem K. Jouravsky]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: MD5

Hello mandrake-russian,

  Возник вот такой вопрос...
  У меня на сервере два рутовых логина, по именам двух юзеров их
  имеющих:
  r_user1 и r_user2, у обоих, ясное дело, UID=0.
  Причина простая - каждому удобнее свои собственные пароли помнить
  Просто логин root у меня забит (в файле /etc/shadow вместо пароля
  стоит астериск)
  А проблема вот в чем, уходя на обед запустил vlock, потому что не
  хотелось совсем сессию закрывать, а вернувшись, обнаружил что кроме
  пароля root он более ничего видеть не хочет :( Пришлось менять
  пароль root с другой консоли чтобы разлочить те что оставил... Это можно
  как-то лечить?

- --
Best regards,
 Artem                          mailto:ujo@zuzusoft.com

-----BEGIN PGP SIGNATURE-----
Version: 2.6

iQCVAwUAOmQzYBc3+hTeMWd9AQGr1gP9FdcCxBCrT8R+Sz3PJR1meoWtALYQGa1Q
gFaZo5xdPeqn0lOn2wv+Ur8sESvudUyHxkqvMSNX9vhnRlxY7ZGrdZf3jP9Y0CDw
rE8B21MRJMkHErKMiVJN70V//gYvY2Qew175HnED/UUU8teDOhfngsGbe+ly4iz7
PIYSLGySTBw=
=lV3G
-----END PGP SIGNATURE-----

Re: [mdk-re] multiple root logins

[Anton I. Karpov]

Добрый день, Artem K. Jouravsky.

В ответ на ваше сообщение от 14:41 16.01.2001 
по теме: "[mdk-re] multiple root logins" было написано: 
AKJ>   У меня на сервере два рутовых логина, по именам двух юзеров их
AKJ>   имеющих:

Есть такая программа -- sudo. На третьм диске вроде живет -- не знаю, у меня
однодисковая версия. Очень полезная вещь, советую обратить внимание.


-- 
Anton I. Karpov
e-mail: gi@joker.botik.ru
icq:    27857813
www:    http://joker.botik.ru/~gi

Re: [mdk-re] multiple root logins

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1652 bytes --]

On Tue, Jan 16, 2001 at 02:41:04PM +0300, Artem K. Jouravsky wrote:
>   Возник вот такой вопрос...
>   У меня на сервере два рутовых логина, по именам двух юзеров их
>   имеющих:
>   r_user1 и r_user2, у обоих, ясное дело, UID=0.
>   Причина простая - каждому удобнее свои собственные пароли помнить
>   Просто логин root у меня забит (в файле /etc/shadow вместо пароля
>   стоит астериск)
>   А проблема вот в чем, уходя на обед запустил vlock, потому что не
>   хотелось совсем сессию закрывать, а вернувшись, обнаружил что кроме
>   пароля root он более ничего видеть не хочет :( Пришлось менять
>   пароль root с другой консоли чтобы разлочить те что оставил... Это можно
>   как-то лечить?

Во первых, проблему надо лечить в корне; в данном случае корень проблемы -
"два _рутовых_ логина по именам двух _юзеров_". Надо работать
непривилегированным пользователем.

Что касается описанной Вами ситуации с vlock, то Вы ее не сможете решить
корректно своими силами. Таково поведение /sbin/{pwdb,unix}_chkpwd, и во
всех дистрибутивах, где vlock работает с использованием авторизации через
PAM >= 0.72, Вы будете наблюдать эту картину. Есть шанс, что в Sisyphus
раньше или позже это будет исправлено.


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re[2]: [mdk-re] multiple root logins

[Artem K. Jouravsky]

Hello Anton,

AKJ>>   У меня на сервере два рутовых логина, по именам двух юзеров их
AKJ>>   имеющих:

AIK> Есть такая программа -- sudo. На третьм диске вроде живет -- не знаю, у меня
AIK> однодисковая версия. Очень полезная вещь, советую обратить внимание.
Знаю, я ее использую, но тут именно случай когда у обоих полные
права... Тем не менее, спасибо!




-- 
Best regards,
 Artem                            mailto:ujo@zuzusoft.com

Re[2]: [mdk-re] multiple root logins

[Artem K. Jouravsky]

Hello Dmitry,

Wednesday, January 17, 2001, 3:44:16 AM, you wrote:

DVL> Во первых, проблему надо лечить в корне; в данном случае корень проблемы -
DVL> "два _рутовых_ логина по именам двух _юзеров_". Надо работать
DVL> непривилегированным пользователем.
А я так и работаю, то есть имеется пользователь user1 и есть r_user1,
есть user2 и r_user2. Сие сделано исключительно для разделения домашних каталогов
и паролей у двух рутов... Если не оглядываться на правило "Если тайну
знают двое то это уже не тайна" то часто удобно, например каждый следит за
своим мусором в ~/tmp и он там не копится ну и вообще у нас настройки
разные...
 А обычная работа происходит обычным пользователем, как и дОлжно.

DVL> Что касается описанной Вами ситуации с vlock, то Вы ее не сможете решить
DVL> корректно своими силами. Таково поведение /sbin/{pwdb,unix}_chkpwd, и во
DVL> всех дистрибутивах, где vlock работает с использованием авторизации через
PAM >>= 0.72, Вы будете наблюдать эту картину. Есть шанс, что в Sisyphus
DVL> раньше или позже это будет исправлено.

Спасибо!
-- 
Best regards,
 Artem                            mailto:ujo@zuzusoft.com

Re: [mdk-re] multiple root logins

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1349 bytes --]

On Wed, Jan 17, 2001 at 01:04:40PM +0300, Artem K. Jouravsky wrote:
> DVL> Во первых, проблему надо лечить в корне; в данном случае корень проблемы -
> DVL> "два _рутовых_ логина по именам двух _юзеров_". Надо работать
> DVL> непривилегированным пользователем.
> А я так и работаю, то есть имеется пользователь user1 и есть r_user1,
> есть user2 и r_user2. Сие сделано исключительно для разделения домашних каталогов
> и паролей у двух рутов... Если не оглядываться на правило "Если тайну
> знают двое то это уже не тайна" то часто удобно, например каждый следит за
> своим мусором в ~/tmp и он там не копится ну и вообще у нас настройки
> разные...
>  А обычная работа происходит обычным пользователем, как и дОлжно.

Это все понятно, но Вы сами проговорились: 
"уходя на обед запустил vlock" - если бы Вы работали в тот момент
непривилегированным пользователем, то и проблемы бы не возникло. :)


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re[2]: [mdk-re] multiple root logins

[Maksim Otstavnov]

Hello Dmitry,

Wednesday, January 17, 2001, 3:44:16 AM, you wrote:

DVL> Во первых, проблему надо лечить в корне; в данном случае корень проблемы -
DVL> "два _рутовых_ логина по именам двух _юзеров_". Надо работать
DVL> непривилегированным пользователем.

DVL> Что касается описанной Вами ситуации с vlock, то Вы ее не сможете решить
DVL> корректно своими силами. Таково поведение /sbin/{pwdb,unix}_chkpwd, и во
DVL> всех дистрибутивах, где vlock работает с использованием авторизации через
PAM >>= 0.72, Вы будете наблюдать эту картину. Есть шанс, что в Sisyphus
DVL> раньше или позже это будет исправлено.

Возможно, разумнее однозначно трактовать ситуацию с двумя
пользователями под одним UID как некорректную. А ситуацию с двумя
UID==0 как серьезную дыру в безопасности хоста. Если "проблема" в том,
что vlock/chkpwd использует UID, а не его мнемонику ("имя
пользователя"), так, по-моему, это очень полезная фича, а не баг.

(Извините, если что не так сказал, я в Linux новичок, но под старыми
юниксами это трактовалось так, и я не помню серьезных проблем, с этим
связанных).

-- 
-- Maksim

Re[3]: [mdk-re] multiple root logins

[Artem K. Jouravsky]

Hello Maksim,

Wednesday, January 17, 2001, 3:23:50 PM, you wrote:

MO> Возможно, разумнее однозначно трактовать ситуацию с двумя
MO> пользователями под одним UID как некорректную.
Это же особенный UID.. В идеале конечно, root должен быть один, но на
практике так не бывает, а такое решение дает свои преимущества

MO> А ситуацию с двумя
MO> UID==0 как серьезную дыру в безопасности хоста.
Почему? Я согласен, что это ослабление безопасности по человеческому
фактору, т.е. вдвое увеличивается вероятность слабого пароля например
и т.д., но почему сразу - дыра?

MO> Если "проблема" в том,
MO> что vlock/chkpwd использует UID, а не его мнемонику ("имя
MO> пользователя"), так, по-моему, это очень полезная фича, а не баг.
Ну... Я и не говорил, что баг, ясно же что большинство проверок в
системе по UID/GID идет, а не по имени.

MO> (Извините, если что не так сказал, я в Linux новичок, но под старыми
MO> юниксами это трактовалось так, и я не помню серьезных проблем, с этим
MO> связанных).
Я тоже новичок... А идею подсмотрел у админов одного московского
провайдера


-- 
Best regards,
 Artem                            mailto:ujo@zuzusoft.com

Re[4]: [mdk-re] multiple root logins

[Maksim Otstavnov]

Hello Artem,

Wednesday, January 17, 2001, 5:53:06 PM, you wrote:

AKJ> Hello Maksim,

AKJ> Wednesday, January 17, 2001, 3:23:50 PM, you wrote:

MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя
MO>> пользователями под одним UID как некорректную.
AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на
AKJ> практике так не бывает, а такое решение дает свои преимущества

Вполне возможно, что они кажущиеся. Практически в любой ситуации можно
найти решение делегированием прав на отдельные каталоги/файлы
администраторам, не являющимся суперпользователями, через механизм
групп. Я не говорил "в любой", я сказал "практически в любой",
обратите внимание.

MO>> А ситуацию с двумя
MO>> UID==0 как серьезную дыру в безопасности хоста.
AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому
AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например
AKJ> и т.д., но почему сразу - дыра?

"Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы
напугать собеседника/клиента. По большому счету, проблем от того, что
в юниксах есть _один_ рут - уже достаточно. Это само по себе
большая... ослабление.

MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми
MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим
MO>> связанных).
AKJ> Я тоже новичок... А идею подсмотрел у админов одного московского
AKJ> провайдера

В аду уже для московских провайдеров, говорят, завели отдельный круг.
;)

-- 
-- Maksim

Re: [mdk-re] multiple root logins

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2206 bytes --]

On Wed, Jan 17, 2001 at 06:11:11PM +0300, Maksim Otstavnov wrote:
> MO>> Возможно, разумнее однозначно трактовать ситуацию с двумя
> MO>> пользователями под одним UID как некорректную.
> AKJ> Это же особенный UID.. В идеале конечно, root должен быть один, но на
> AKJ> практике так не бывает, а такое решение дает свои преимущества
> 
> Вполне возможно, что они кажущиеся. Практически в любой ситуации можно
> найти решение делегированием прав на отдельные каталоги/файлы
> администраторам, не являющимся суперпользователями, через механизм
> групп. Я не говорил "в любой", я сказал "практически в любой",
> обратите внимание.

А с применением capabilities и sudo - тем более.

> MO>> А ситуацию с двумя
> MO>> UID==0 как серьезную дыру в безопасности хоста.
> AKJ> Почему? Я согласен, что это ослабление безопасности по человеческому
> AKJ> фактору, т.е. вдвое увеличивается вероятность слабого пароля например
> AKJ> и т.д., но почему сразу - дыра?
> 
> "Дыра" - это в нашей отрасли такой способ сказать "ослабление", чтобы
> напугать собеседника/клиента. По большому счету, проблем от того, что
> в юниксах есть _один_ рут - уже достаточно. Это само по себе
> большая... ослабление.

Конечно, не дыра, но weakness, на которую будут обращать Ваше внимание при
любой возникающей проблеме.

> MO>> (Извините, если что не так сказал, я в Linux новичок, но под старыми
> MO>> юниксами это трактовалось так, и я не помню серьезных проблем, с этим
> MO>> связанных).

Все верно, если интересуют детали, то происходит pw = getpwuid(getuid()), в
виду чего используется только одно username, а именно первое с данным UID.

Думаю, не будет беды, если расширить этот алгоритм (грубо говоря) до
pw = getpwnam(getenv(LOGNAME)) при условии (pw->pw_uid == getuid()).


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@fandra.org
Software Engineer   PGP pubkey http://www.fandra.org/users/ldv/pgpkeys.html
IPLabs Linux Team   http://linux.iplabs.ru
Fandra Project      http://www.fandra.org
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re[2]: [mdk-re] multiple root logins

[Artem K. Jouravsky]

Hello!

>> Практически в любой ситуации можно
>> найти решение делегированием прав на отдельные каталоги/файлы
>> администраторам, не являющимся суперпользователями, через механизм
>> групп. Я не говорил "в любой", я сказал "практически в любой",
>> обратите внимание.

DVL> А с применением capabilities и sudo - тем более.
Уговорили! :)

DVL> Все верно, если интересуют детали, то происходит pw = getpwuid(getuid()), в
DVL> виду чего используется только одно username, а именно первое с данным UID.

DVL> Думаю, не будет беды, если расширить этот алгоритм (грубо говоря) до
DVL> pw = getpwnam(getenv(LOGNAME)) при условии (pw->pw_uid == getuid()).
Отдельное спасибо! Хотя видимо, вряд ли понадобится, раз уж от этого
механизма отказываться...

DVL> UNIX is user friendly. It's just very selective about who its friends are.
истинно так!


-- 
Best regards,
 Artem                            mailto:ujo@zuzusoft.com