/usr/share/doc/HOWTO/hr-html/Sigurnost-KAKO-13.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
 <TITLE>Sigurnost Linuxa KAKO: Èesto postavljana pitanja</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
 <LINK HREF="Sigurnost-KAKO-14.html" REL=next>
 <LINK HREF="Sigurnost-KAKO-12.html" REL=previous>
 <LINK HREF="Sigurnost-KAKO.html#toc13" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-14.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-12.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc13">Sadr¾aj</A>
<HR>
<H1><A NAME="s13">13. Èesto postavljana pitanja</A></H1>

<P>
<P>
<OL>
<LI>Je li sigurnije kompajlirati drajver izravno u kernel umjesto kao modul?

Odgovor: Neki misle da je bolje iskljuèiti moguænost uèitavanja podr¹ke za
ureðaje preko modula jer uljez tako mo¾e uèitati trojanski modul ili sam
uèitati modul koji bi utjecao na sigurnost sustava.

Meðutim, da bi uèitali modul, morate biti root. U datoteke modula mo¾e
pisati takoðer samo root. To znaèi da je uljezu potreban pristup rootu da bi
ubacio modul. Ako uljez dobije pristup rootu, ima puno ozbiljnijih stvari
o kojima treba brinuti nego da li æe uèitati modul.

Moduli slu¾e za dinamièko uèitavanje podr¹ke za odreðene ureðaje koji se
mo¾da rjeðe koriste. Na strojevima koji su poslu¾itelji ili firewallovi na
primjer, to je vrlo nevjerojatno. Iz tih razloga, za poslu¾itelje kompajliranje
izravno u kernel ima vi¹e smisla. Takoðer, moduli su sporiji od izravne
podr¹ke u kernelu.
</LI>
<LI>Logiranje kao root s udaljenog stroja uvijek je neuspje¹no.

Odgovor: Proèitajte dio o sigurnosti roota. To je uèinjeno namjerno kako bi
se udaljeni korisnici sprijeèili u poku¹ajima spajanja telnetom na va¹e
raèunalo kao root, ¹to je ozbiljna sigurnosna rupa. Ne zaboravite, moguæi
uljezi vrijeme imaju na svojoj strani i mogu automatski tra¾iti va¹u
lozinku.
</LI>
<LI>Kako da ukljuèim shadow lozinke na svom Red Hatu 4.2 ili 5.0?

Odgovor: Shadow lozinke su mehanizam spremanja va¹ih lozinki u datoteku koja
nije uobièajena /etc/passwd. To ima nekoliko prednosti. Prva je
¹to je shadow datoteka, /etc/shadow, èitljiva samo za roota, za
razliku od /etc/passwd, koja mora ostati èitljiva za sve. Druga
je prednost ¹to vi kao administrator mo¾ete ukljuèiti ili iskljuèiti raèune
bez da svi znaju stanje raèuna drugih korisnika.

Onda se datoteka /etc/passwd koristi za pohranjivanje imena
korisnika i grupa, koje koriste programi kao ¹to je <CODE>/bin/ls</CODE> za
pretvaranje UID-a u odgovarajuæe ime korisnika u sadr¾aju direktorija.

Datoteka /etc/shadow sadr¾i samo korisnièko ime i njegovu
lozinku, te mo¾da informacije o raèunu, kao ¹to je datum njegova istjecanja,
itd.

Ukljuèiti shadow lozinke mo¾ete naredbom <CODE>pwconv</CODE> kao root. Trebala bi se
pojaviti datoteka /etc/shadow koju bi trebale koristiti i
aplikacije. Po¹to koristite RH 4.2 ili bolji, PAM moduli æe se automatski
prilagoditi promjeni kori¹tenja normalne /etc/passwd u shadow
lozinke, bez ikakvih drugih promjena.

Po¹to vas zanima osiguravanje va¹ih lozinki, mo¾da æe vas takoðer zanimati
generiranje dobrih lozinki na poèetku. Za to mo¾ete koristiti pam_cracklib
modul, dio PAM-a. Va¹u lozinku provjerava protiv Crack librarya kako bi vam
otkrio da li ju je prelako pogoditi iz programa za razbijanje lozinki.
</LI>
<LI>Kako da ukljuèim Apache SSL pro¹irenja?

Odgovor:
<OL>
<LI>Nabavite SSLeay 0.8.0 ili noviji s 
<A HREF="ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL/">ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL/</A>.</LI>
<LI>Kompajlirajte, testirajte i instalirajte ga!</LI>
<LI>Nabavite izvorni kod Apache 1.2.5.</LI>
<LI>Nabavite Apache SSLeay pro¹irenja s 
<A HREF="ftp://ftp.ox.ac.uk/pub/crypto/SSL/apache_1.2.5+ssl_1.13.tar.gz">ftp://ftp.ox.ac.uk/pub/crypto/SSL/apache_1.2.5+ssl_1.13.tar.gz</A>.</LI>
<LI>Otpakirajte ga u direktoriju s izvornim kodom apache 1.2.5 i zakrpite
Apache prema <CODE>README</CODE>-u.</LI>
<LI>Konfigurirajte ga i kompajlirajte.</LI>
</OL>


Mo¾ete pogledati i 
<A HREF="http://www.replay.com">http://www.replay.com</A>, gdje se nalaze mnogi
veæ kompajlirani paketi, i to izvan SAD-a.
</LI>
<LI>Kako da radim s korisnièkim raèunima, ali zadr¾im sigurnost?

Odgovor: distribucija Red Hat, posebno 5.0, sadr¾i velik broj alata za
mijenjanje svojstava korisnièkih raèuna.

<UL>
<LI>Programi pwconv i unpwconv mogu se koristiti za pretvaranje u i iz shadow
lozinki.</LI>
<LI>Programi pwck i grpck mogu se koristiti za provjeravanje pravilne
organizacije <CODE>passwd</CODE> i <CODE>group</CODE> datoteka.</LI>
<LI>Programi useradd, usermod i userdel mogu se koristiti za dodavanje, brisanje
i mijenjanje korisnièkih raèuna. Programi groupadd, groupmod i groupdel èine
isto za grupe.</LI>
</UL>


Svi ovi programi svjesni su shadowa -- dakle, ako ukljuèite shadow lozinke,
koristit æe /etc/shadow za informacije o lozinkama, ako ne,
neæe.

Za daljnje informacije pogledajte odgovarajuæe man stranice.
</LI>
<LI>Kako mogu odreðene HTML dokumente za¹tititi lozinkom koristeæi Apache?

Odgovor: Kladim se da niste znali za 
<A HREF="http://www.apacheweek.com/">http://www.apacheweek.com/</A>,
ne?

Informacije o autentifikaciji korisnika mo¾ete naæi na 
<A HREF="http://www.apacheweek.com/features/userauth">http://www.apacheweek.com/features/userauth</A>, kao i druge naputke za
sigurnost WWW-a na 
<A HREF="http://www.apache.org/docs/misc/security_tips.html">http://www.apache.org/docs/misc/security_tips.html</A>.</LI>
</OL>
<P>
<HR>
<A HREF="Sigurnost-KAKO-14.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-12.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc13">Sadr¾aj</A>
</BODY>
</HTML>
doc-linux-hr 20000416.1 / usr / share / doc / HOWTO / hr-html / Sigurnost-KAKO-13.html
