Date: Sat, 3 May 2003 21:51:51 +0200 (CEST) From: norgaard@telho.net To: bsd-dk@bsd-dk.dk Subject: RE: Problemer med login via ssh
On 1 May 2003, Anders S. Jensen wrote:
> Hvis du vil slippe let om konfigurationen i dit hjemme-lab
> kan du bare tilføje dit login navn til wheel gruppen i /etc/groups
> og udkommentere linien med
> %wheel ALL = (ALL) ALL
> i /usr/local/etc/sudoers
> voila, så er du kørende og behøver aldrig mere at logge ind som root.
Er det nu ogsaa saa smart? Sudo laver en session der bliver tilgaengelig i
alle login sessioner for den paagaeldende bruger i et vist tidsrum, til
glaede for de hackere der maatte faa adgang udefra - saa meget for
PermitRootLogin=no. Desuden, kan man med "sudo su" faa fulde privilegier.
Reelt betyder det at root-password bliver irrelevant og man har i stedet
lige saa mange root accounts som der er medlemmer af wheel gruppen.
Min pointe er at hvis man ikke restringerer sudo-kommandoer til det
absolut mest noedvendige giver det hackere langt nemmere mulighed for at
opnaa priviligeret adgang fordi der er flere mulige svagheder.
Ja, naturligvis kan en hacker forsoege at installere en keylogger og ad
den vej sniffe root-passwd men hvis man bruger sudo til de fleste
priviligerede kommandoer man koerer ofte gaar der forhaabenlig lang tid
foer hackeren faar den fulde adgang - og saa kan man jo haabe at det
bliver opdaget inden - chancen er i hvert fald stoerre...
Derfor mener jeg man boer konfigurere sudo restriktivt, webadmin skal
naturligvis kunne editere config og genstarte apache men det er ikke
noedvendigt ogsaa at kunne skrive til password filen.
Er jeg paranoid eller tager jeg fejl?
Mvh Erik
"I now inform you that you are too far from reality"
- Iraqui information minister
Strandboulevarden 75, 3. tv. E-mail: norgaard@math.ku.dk
DK-2100 Copenhagen E Cell, dk: +45 2849 3936
Denmark
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET