On 24 Feb 2002 at 17:27, Davide Bolcioni wrote:
> > - SuSE utilizza /etc/profile probabilmente generato in automatico
> > dai
> > tools di CFG per poi lasciare all'amministratore di sbizzarrirsi
> > su /etc/profile.local, /etc/profile.d/*.sh
> > A titolo informativo, è cosa comune?
> Abbastanza. Per le distribuzioni basate su RPM, avere una directory dove
> scodellare file che diventano parte del profile è una comodità.
Stessi files/posti? (/etc/profile.local, /etc/profile.d/*.sh)
> > - dove stà il pericolo di avere /usr/local/sbin/ nel PATH di root?
> Non c'è un pericolo particolare, a meno che i permessi di
> /usr/local/sbin non consentano ad utenti ordinari di metterci dei file
> che come tali potrebbero essere eseguiti da root.
Appunto... la cosa si risolve NON dando i permessi in scrittura in
/usr/local/sbin/ cosa che di fatto è almeno per il setup di SuSE
Questo è solo un layer di sicurezza in più, nel caso l'admin impazzisca
è renda scrivibile /usr/local/sbin/, ma con un admin pazzo, mi
preoccuperei d'altro.
La faccenda mi sembra evidentemente di natura diversa dal . nel path
perchè il . nel path è inamministrabile (se non applicando scosse
elettriche all'amministratore ogni qual volta non digita il path
completo).
> > - uno switch nei tool di configurazione "impedisce" di fare telnet
> > autenticandosi come root. La cosa non funziona granchè bene perchè
> > uno telnetta come utente normale ma poi non gli viene proibito di
> > su_darsi. Come viene implementata l'esclusione di root per il
> > login via telnet?
> Lo scopo non è impedire del tutto a root di collegarsi in remoto, ma
> fare in modo che per diventare root in remoto occorra conoscere almeno
> la password di un utente ordinario oltre a quella di root. Non sarà una
> precauzione risolutiva, ma tutto aiuta.
Si... ma come è implementata la faccenda? Dove devo cercare per vedere
come tenta di impedire l'accesso a root?
E' solo curiosità...
ssh è evidentemente un abuso per la LAN attualmente. Da fuori non si
telnetta e da dentro sono solo io... certo costituirebbe un layer di
sicurezza in più ma semplicemente adesso mi interessa scoprire passo
passo come è configurata la macchina.
Se la cosa è contorta procedo con gli esperimenti con sh.
--
Salve
Ivan Sergio Borgonovo
http://www.webthatworks.it/
|