doc-linux-hr 20000416.1 / usr / share / doc / HOWTO / hr-html / Sigurnost-KAKO-6.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
 <TITLE>Sigurnost Linuxa KAKO: Sigurnost lozinki i enkripcija</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
 <LINK HREF="Sigurnost-KAKO-7.html" REL=next>
 <LINK HREF="Sigurnost-KAKO-5.html" REL=previous>
 <LINK HREF="Sigurnost-KAKO.html#toc6" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-7.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-5.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc6">Sadr¾aj</A>
<HR>
<H1><A NAME="s6">6. Sigurnost lozinki i enkripcija</A></H1>

<P>
<P>Jedna od najva¾nijih naèina osiguranja koji se koriste u dana¹nje vrijeme su
lozinke. Va¾no je da vi i svi va¹i korisnici imate sigurne, nepogodive
lozinke. Veæina novijih Linux distribucija dolaze s programom passwd koji ne
dopu¹ta lozinke koje je lako pogoditi. Provjerite da li je va¹ passwd svje¾
i da li ima takve moguænosti.
<P>Dublje ula¾enje u temu enkripcije izvan je dosega ovog dokumenta, ali
potreban je barem uvod. Enkripcija je vrlo korisna, mo¾da èak i potrebna u
ovakvom dobu. Postoji mnogo naèina enkriptiranja podataka, svaki sa svojim
osobinama.
<P>Veæina Unixa (ni Linux nije iznimka) za enkriptiranje lozinki primarno
koriste jednosmjerni algoritam enkriptiranja zvan DES (<B>D</B>ata
<B>E</B>ncryption <B>S</B>tandard -- standard enkripcije podataka). Takve
enkriptirane lozinke pohranjuju se u (obièno) /etc/passwd ili
(neuobièajenije) /etc/shadow. Kada se poku¹ate logirati, ¹to
god upi¹ete ponovo se enkriptira i usporeðuje s zapisom u datoteci u kojoj
su va¹e lozinke. Ako se sla¾u, to mora biti ista lozinka i ulaz vam je
dopu¹ten. Iako je DES dvosmjeran algoritam enkripcije (mo¾ete enkriptirati i
dekriptirati poruku ako imate prave kljuèeve) varijanta koju veæina Unixa
koristi jednosmjerna je. Dakle, ne bi trebalo biti moguæe obrnuti smjer
enkripcije i dobiti lozinku iz sadr¾aja /etc/passwd (odnosno
/etc/shadow).
<P>Napadi grubom silom kao ¹to je Crack ili John the Ripper (v. dolje) èesto
pogode lozinke ako one nisu dovoljno sluèajne. PAM moduli (v. dolje)
omoguæavaju kori¹tenje razlièitog naèina enkripcije lozinki (MD5 ili
slièno).
<P>O izabiranju dobre lozinke mo¾ete proèitati na 
<A HREF="http://consult.cern.ch/writeup/security/security_3.html">http://consult.cern.ch/writeup/security/security_3.html</A>.
<P>
<H2><A NAME="ss6.1">6.1 PGP i kriptografija javnih kljuèeva</A>
</H2>

<P>
<P>Kriptografija javnih kljuèeva, koju koristi i PGP, koristi jedan kljuè za
enkripciju i jedan za dekripciju. Tradicionalno, kriptografija koristi za
enkripciju isti kljuè kao i za dekripciju. Taj "osobni kljuè" mora biti
poznat obje strane i na neki naèin sigurno prenesen od jedne do druge.
<P>Kriptografija javnih kljuèeva poni¹tava potrebu sigurnog preno¹enja kljuèa
koji se koristi za enkripciju pomoæu kori¹tenja dva odvojena kljuèa, javnog
kljuèa i osobnog kljuèa. Javni kljuè svake osobe dostupan je svakome za
enkripciju, no osobni kljuè ima samo ta osoba kako bi dekriptirala poruke
¹ifrirane toènim javnim kljuèem.
<P>I kriptografija javnih i kriptografija osobnih kljuèeva imaju svoje prednosti
-- o tim razlikama govori se u <B>RSA Cryptography FAQ</B>, navedenom na kraju
ovog dijela.
<P>PGP (<B>P</B>retty <B>G</B>ood <B>P</B>rivacy -- prilièno dobra privatnost) na
Linuxu je dobro podr¾an. Verzije 2.6.2 i 5.0 dobro funkcioniraju. Za dobar
uvod u PGP i kako ga koristiti pogledajte <B>PGP FAQ</B>, 
<A HREF="http://www.pgp.com/service/export/faq/55faq.cgi">http://www.pgp.com/service/export/faq/55faq.cgi</A>. Pazite da uzmete
verziju koja odgovara va¹oj zemlji, jer se prema ogranièenjima izvoza iz
SAD-a jaka enkripcija smatra vojnim oru¾jem i njeno preno¹enje
u elektronskom obliku izvan zemlje je zabranjeno.
<P>Tu je i vodiè korak-po-korak u konfiguriranju PGP na Linuxu, koji se mo¾e
naæi na 
<A HREF="http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html">http://mercury.chem.pitt.edu/~angel/LinuxFocus/English/November1997/article7.html</A>.
Napisan je za meðunarodnu verziju PGP-a, ali lako se primjeni na verziju za
SAD. Mo¾da æe vam trebati i zakrpa za neke od najnovijih Linux verzija koja
se mo¾e naæi na 
<A HREF="ftp://sunsite.unc.edu/pub/Linux/apps/crypto">ftp://sunsite.unc.edu/pub/Linux/apps/crypto</A>.
<P>Vi¹e informacija o kriptografiji mo¾e se naæi u <B>RSA Cryptography FAQ</B> na
<A HREF="http://www.rsa.com/rsalabs/newfaq/">http://www.rsa.com/rsalabs/newfaq/</A>. Tu æete naæi informacije o
stvarima kao ¹to je "Diffie-Hellman", "kriptografija javnih kljuèeva",
"digitalne potvrde", itd.
<P>
<H2><A NAME="ss6.2">6.2 SSL, S-HTTP, HTTPS i S/MIME</A>
</H2>

<P>
<P>Korisnike èesto zanimaju razlike izmeðu raznih sigurnosnih i enkripcijskih
protokola, te njihovo kori¹tenje. Iako ovo nije dokument o enkripciji,
bilo bi dobro da razjasnimo ¹to je ¹to i gdje naæi vi¹e informacija.
<P>
<DL>
<DT><B>SSL:</B><DD><P>(<B>S</B>ecure <B>S</B>ockets <B>L</B>ayer) metoda je enkripcije koju
je razvio Netscape za sigurnost preko Interneta. Podr¾ava nekoliko
razlièitih enkripcijskih protokola i omoguæava autentifikaciju klijenta i
poslu¾itelja. SSL radi na razini prijenosa stvarajuæi sigurni kanal podataka i
tako mo¾e transparentno enkriptirati mnoge vrste podataka. To æete najèe¹æe
vidjeti pregledavajuæi u Communicatoru siguran dokument sa sigurnog
poslu¾itelja, a slu¾i kao osnova sigurnih komunikacija pomoæu Communicatora,
kao i mnoge druge enkripcije podataka Netscape Communicationsa. Vi¹e
informacija mo¾e se naæi na 
<A HREF="http://www.consensus.com/security/ssl-talk-faq.html">http://www.consensus.com/security/ssl-talk-faq.html</A>. Informacije o
drugim Netscapeovim sigurnosnim implementacijama i dobra poèetna toèka za
ove protokole nalazi se na 
<A HREF="http://home.netscape.com/info/security-doc.html">http://home.netscape.com/info/security-doc.html</A>.
<P>
<DT><B>S-HTTP:</B><DD><P>S-HTTP je jo¹ jedan protokol koji omoguæava sigurne usluge
preko Interneta. Napravljen je da pru¾i povjerljivost, provjerenost,
cjelovitost i nezamjenjivost istovremeno podr¾avajuæi mehanizme za rad s
vi¹e kljuèeva i kriptografske algoritme kroz pregovaranje opcija izmeðu
strana umije¹anih u svaku transakciju. S-HTTP je ogranièen na poseban
program koji ga implementira i svaku poruku posebno enkriptira. (iz <B>RSA
Cryptography FAQ</B>, str. 138)
<P>
<DT><B>S/MIME</B><DD><P>- S/MIME, odnosno <B>S</B>ecure <B>M</B>ultipurpose
<B>I</B>nternet <B>M</B>ail <B>E</B>xtension, enkripcijski je standard koji se
koristi za enkriptiranje elektronske po¹te i drugih tipova poruka preko
Interneta. To je otvoren standard kojeg razvija RSA, pa se nadamo da æemo ga
uskoro vidjeti i na Linuxu. Vi¹e informacija o S/MIME-u mo¾e se naæi na 
<A HREF="http://home.netscape.com/assist/security/smime/overview.html">http://home.netscape.com/assist/security/smime/overview.html</A>.
</DL>
<P>
<H2><A NAME="ss6.3">6.3 Linux x-kernel -- implementacija IPSEC-a</A>
</H2>

<P>
<P>Uz CIPE i druge oblike enkripcije podataka, za Linux postoji i
implementacija IPSEC-a. IPSEC je rezultat napora IETF-a u stvaranju
kriptografski sigurnih komunikacija na razini IP mre¾a, koji takoðer pru¾a
autentifikaciju, cjelovitost, kontrolu pristupa i povjerljivost. Informacije
o IPSEC-u i Internet nacrtu mogu se naæi na 
<A HREF="http://www.ietf.org/html.charters/ipsec-charter.html">http://www.ietf.org/html.charters/ipsec-charter.html</A>. Tamo su i veze
na druge protokole koji rade s kljuèevima, te IPSEC mailing lista i
arhive.
<P>Linux implementacija koja se razvija na Sveuèili¹tu Arizone koristi
x-kernel, objektno bazirani okvir za implementiranje mre¾nih protokola, a
mo¾e se naæi na 
<A HREF="http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html">http://www.cs.arizona.edu/xkernel/hpcc-blue/linux.html</A>.
Najjednostavnije reèeno, x-kernel je naèin preno¹enja poruka na razini
kernela, ¹to olak¹ava implementaciju.
<P>Kao i drugi oblici kriptografije, ne distribuira se zajedno s kernelom zbog
ogranièenja u izvozu.
<P>
<H2><A NAME="ss6.4">6.4 SSH, stelnet</A>
</H2>

<P>
<P>SSH (<B>S</B>ecure <B>Sh</B>ell -- sigurna ljuska) i stelnet su programi koji vam
omoguæavaju rad na udaljenim sustavima kroz enkriptiranu vezu.
<P>SSH je skup programa koji se koriste kao sigurna zamjena za rlogin, rsh i
rcp. Za enkriptiranje izmeðu dva raèunala koristi kriptografiju javnih
kljuèeva, kao i za provjeru korisnika. Mo¾e se koristiti za sigurno
logiranje na udaljeno raèunalo ili kopiranje podataka izmeðu raèunala ujedno
spreèavajuæi napade izmeðu (<B>session hijacking</B> -- otimanje sesije) i DNS
<B>spoofing</B> (varanje). Sa¾imat æe va¹e veze i osiguravati X11 veze izmeðu
raèunala. SSH-ove WWW stranice su 
<A HREF="http://www.cs.hut.fi/ssh/">http://www.cs.hut.fi/ssh/</A>.
<P>SSH mo¾ete koristiti i sa svoje Windows radne stanice na svoj Linux SSH
poslu¾itelj. Ima nekoliko besplatnih Windows implementacija klijenta,
ukljuèujuæi onu na 
<A HREF="http://guardian.htu.tuwien.ac.at/therapy/ssh/">http://guardian.htu.tuwien.ac.at/therapy/ssh/</A>, kao i komercijalnu
implementaciju DataFellowsa na 
<A HREF="http://www.datafellows.com">http://www.datafellows.com</A>.
<P>SSLeay je besplatna implementacija Netscapeovog Secure Sockets Layer
protokola, kao i nekoliko aplikacija, kao ¹to je Secure telnet, modul za
Apache, nekoliko baza podataka, te nekoliko algoritama ukljuèujuæi DES, IDEA
i Blowfish.
<P>Koristeæi taj library napravljena je sigurna zamjena za telnet koja
enkriptira telnet vezu. Za razliku od SSH-a, stelnet koristi SSL, <B>S</B>ecure
<B>S</B>ockets <B>L</B>ayer, koji je razvio Netscape. Secure telnet i Secure FTP mo¾ete
naæi poèev¹i od <B>SSLeay FAQ</B>, dostupnog na 
<A HREF="http://www.psy.uq.oz.au/~ftp/Crypto/">http://www.psy.uq.oz.au/~ftp/Crypto/</A>.
<P>
<H2><A NAME="ss6.5">6.5 PAM - Pluggable Authentication Modules</A>
</H2>

<P>
<P>Novije verzije distribucije Red Hat Linux isporuèuju se s jedinstvenom
shemom autentifikacije zvanom "PAM". PAM vam omoguæava mijenjanje metoda
i potreba autentificiranja u letu te enkapsuliranje svih lokalnih
autentifikacijskih metoda bez ponovnog kompajliranja ijednog programa.
Konfiguracija PAM-a je izvan dosega ovog dokumenta, ali potrudite se i
pogledajte WWW stranice PAM-a za vi¹e informacija. 
<A HREF="http://www.kernel.org/pub/linux/libs/pam/index.html">http://www.kernel.org/pub/linux/libs/pam/index.html</A><P>Samo neke od stvari koje mo¾ete s PAM-om:
<UL>
<LI>Koristiti ne¹to ¹to nije DES za enkripciju svojih lozinki (¹to ih èini te¾im
za probijanje grubom silom).</LI>
<LI>Postaviti ogranièenja kori¹tenja za sve svoje korisnike tako da ne mogu
izvoditi <B>denial of service</B> napade (broj procesa, kolièina memorije,
itd.).</LI>
<LI>Ukljuèiti shadow lozinke u letu.</LI>
<LI>Odreðenim korisnicima dozvoliti da se logiraju samo u odreðeno vrijeme s
odreðenog mjesta.</LI>
</UL>
<P>Samo nekoliko sati nakon instaliranja i konfiguriranja svog sustava mo¾ete
sprijeèiti mnoge napade prije nego ¹to se i dogode. Na primjer, koristite
PAM za iskljuèivanje kori¹tenja <CODE>.rhosts</CODE> datoteka na sustavu u home
direktorijima korisnika dodavanjem ovih redova
/etc/pam.d/login:
<PRE>
#
# Korisnicima onemoguæavamo rsh/rlogin/rexec
#
login auth required pam_rhosts_auth.so no_rhosts
</PRE>
<P>
<H2><A NAME="ss6.6">6.6 Kriptografska IP enkapsulacija (CIPE)</A>
</H2>

<P>
<P>Najva¾niji cilj ovog softvera je pru¾iti moguænost sigurne (od
prislu¹kivanja, kao i analiza prometa, te ubacivanja krivotvorenih poruka)
veze podmre¾a preko nesigurne paketne mre¾e kao ¹to je Internet.
<P>CIPE (<B>C</B>ryptographic <B>IP</B> <B>E</B>ncapsulation) podatke enkriptira na
mre¾noj razini. Paketi koji putuju izmeðu raèunala enkriptirani su.
Enkripcija se izvodi blizu same podr¹ke koja ¹alje i prima pakete.
<P>To je razlièito od SSH-a koji podatke enkriptira na vezi, na razini
socketa. Logièka veza izmeðu programa na razlièitim raèunalima
enkriptirana je.
<P>CIPE se mo¾e koristiti za <B>tunnelling</B> kako bi stvorili
<B>Virtual Private Network</B> (virtualnu privatnu mre¾u). Enkripcija na
niskom nivou ima prednost ¹to mo¾e transparentno raditi izmeðu dvije mre¾e
spojene u VPN, bez ikakvog mijenjanja aplikacija.
<P>Sa¾eto iz dokumentacije CIPE-a:
<P>IPSEC standardi definiraju skup protokola koje se mo¾e koristiti (meðu
ostalim) za izgradnju enkriptiranih VPM-ova. Meðutim, IPSEC je relativno
te¾ak i slo¾en skup protokola s mnogo opcija, potpune implementacije jo¹
uvijek se rijetko koriste, a neka pitanja (kao ¹to je rad s kljuèevima) jo¹
nisu do kraja rije¹ena. CIPE koristi jednostavniji pristup u kojem se mnoge stvari
(kao ¹to je izbor algoritma enkripcije) mogu promijeniti samo pri instalaciji.
To ogranièava prilagodljivost, ali omoguæava jednostavnu (i zato
djelotvornu, u kojoj je lako pronaæi gre¹ke) implementaciju.
<P>Vi¹e informacija mo¾e se naæi na 
<A HREF="http://www.inka.de/~bigred/devel/cipe.html">http://www.inka.de/~bigred/devel/cipe.html</A>.
<P>Kao i drugi oblici kriptografije, ne distribuira se s kernelom zbog
ogranièenja u izvozu.
<P>
<H2><A NAME="ss6.7">6.7 Kerberos</A>
</H2>

<P>
<P>Kerberos je sustav autentifikacije koji je razvio Athena projekt na MIT-u.
Kada se korisnik logira, Kerberos ga autentificira (preko lozinke) i daje mu
naèin dokazivanja identiteta drugim poslu¾iteljima i raèunalima razbacanim
na mre¾i.
<P>Ovu autentifikacija èesto koriste programi kao ¹to je rlogin kako bi
korisniku omoguæili logiranje na druga raèunala bez lozinke (umjesto
datoteke <CODE>.rhosts</CODE>). Autentifikaciju takoðer koristi sustav po¹te kako
bi se zajamèila isporuka po¹te pravoj osobi, kao i istinit identitet
po¹iljatelja.
<P>Ukupni uèinak instaliranja Kerberosa i brojnim drugih programa koji s njime
dolaze je gotovo potpuna eliminacija moguænosti da korisnik prevari sustav
da je netko drugi. Na¾alost, instalacija Kerberosa vrlo je temeljita i
zahtijeva promjene ili zamjene mnogih standardnih programa.
<P>Vi¹e informacija o Kerberosu mo¾e se naæi na 
<A HREF="http://www.veritas.com/common/f/97042301.htm">http://www.veritas.com/common/f/97042301.htm</A>, a izvorni kod na 
<A HREF="http://nii.isi.edu/info/kerberos/">http://nii.isi.edu/info/kerberos/</A>.
<P>(iz <B>Stein, Jennifer G., Clifford Neuman, and Jeffrey L. Schiller.
"Kerberos: An Authentication Service for Open Network Systems." USENIX 
Conference Proceedings, Dallas, Texas, zima 1998.</B>)
<P>
<H2><A NAME="ss6.8">6.8 Shadow lozinke</A>
</H2>

<P>
<P>Shadow lozinke naèin su èuvanja va¹ih enkriptiranih lozinki nedostupnim
obiènom korisniku. Obièno su te enkriptirane lozinke pohranjene u
datoteci /etc/passwd gdje ih svi mogu proèitati. Zatim mogu
pokrenuti programe za pogaðanje lozinke i poku¹ati ju saznati. Shadow
lozinke te informacije pohranjuju u datoteku /etc/shadow koju
mogu èitati samo privilegirani korisnici. Da bi shadow lozinke
funkcionirale, svi va¹i programi kojima treba pristup informacijama o
lozinci moraju se ponovo kompajlirati kako bi ih podr¾avali. PAM (veæ
spomenut) vam takoðer omoguæava da samo ukljuèite shadow modul i ne
zahtijeva ponovno kompajliranje izvr¹nih datoteka. Ako je to potrebno, za
daljne informacije pogledajte <B>Shadow Password HOWTO</B>. Dostupan je na
<A HREF="http://sunsite.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.html">http://sunsite.unc.edu/LDP/HOWTO/Shadow-Password-HOWTO.html</A>.
Sada je relativno zastario i nije potreban distribucijama koje podr¾avaju
PAM.
<P>
<H2><A NAME="ss6.9">6.9 Crack i John the Ripper</A>
</H2>

<P>
<P>Ako iz nekog razloga va¹ passwd program ne sili te¹ko pogodive lozinke,
mo¾da æete htjeti pokrenuti program za razbijanje lozinki i provjeriti da li
su lozinke va¹ih korisnika sigurne.
<P>Programi za razbijanje lozinki zasnovani su na jednostavnoj ideji. Isprobaju
svaku rijeè u rjeèniku i zatim njihove varijacije. Svaku enkriptiraju i
provjeravaju da li se sla¾e s va¹om enkriptiranom lozinkom. Ako da, unutra
su.
<P>Vi¹e ih je u divljini... Dva najzapa¾enija su Crack i John the Ripper 
<A HREF="http://www.false.com/security/john/index.html">http://www.false.com/security/john/index.html</A>. Zauzet æe vam dosta
procesorskog vremena, ali bi vam trebali reæi da li bi napadaè mogao uæi
koristeæi ih, ako ih pokrenete prije njega i obavijestite korisnike sa
slabim lozinkama. Primjetite da bi napadaè prije toga morao iskoristiti neku
drugu rupu da bi dobio va¹u passwd (Unixov /etc/passwd)
datoteku, ali one su èe¹æe nego ¹to mislite.
<P>
<H2><A NAME="ss6.10">6.10 CFS i TCFS</A>
</H2>

<P>
<P>CFS (Cryptographic File System -- kriptografski datoteèni sustav) je metoda
enkriptiranja cijelog datoteènog sustava koji korisnicima
omoguæava pohranjivanje enkriptiranih datoteka. Koristi NFS poslu¾itelj koji
radi na lokalnom stroju. RPM-ovi se nalaze na 
<A HREF="http://www.replay.com/redhat/">http://www.replay.com/redhat/</A>, a vi¹e informacija o tome kako to sve
radi na 
<A HREF="ftp://ftp.research.att.com/dist/mab/">ftp://ftp.research.att.com/dist/mab/</A>.
<P>TCFS (Transparent Cryptographic File System -- transparentni...) pobolj¹ava
CFS, dodavajuæi vi¹e integracije s datoteènim sustavom, tako da je proziran
korisnicima koji ga koriste. Vi¹e informacija na 
<A HREF="http://edu-gw.dia.unisa.it/tcfs/">http://edu-gw.dia.unisa.it/tcfs/</A>.
<P>
<H2><A NAME="ss6.11">6.11 X11, SVGA i sigurnost prikaza</A>
</H2>

<P>
<P>
<H4><A NAME="ss6.11.1">6.11.1 X11</A>
</H4>

<P>
<P>Va¾no je da osigurate svoj grafièki prikaz kako bi sprijeèili napadaèe u
stvarima kao ¹to je: kraða va¹ih lozinki dok ih tipkate bez da ste toga
svjesni, èitanje dokumenata ili informacija koje èitate na svom ekranu ili
èak kori¹tenje rupe za pristup nadkorisnika. Pokretanje X aplikacija preko
mre¾e takoðer mo¾e biti igranje s vatrom koje omoguæuje nju¹kalima da
gledaju cijelu va¹u interakciju s udaljenim sustavom.
<P>X ima vi¹e mehanizama za kontrolu pristupa. Najjednostavniji od njih zasniva
se na imenu raèunala. xhost mo¾ete koristiti za odreðivanje raèunala kojima
je dozvoljen pristup va¹em prikazu. To uopæe nije sigurno. Ako netko ima
pristup va¹em raèunalu mo¾e koristiti <CODE>xhost + svoje raèunalo</CODE> i lako
uæi. Takoðer, ako dopu¹tate pristup neprovjerenom stroju, svatko mo¾e
gledati va¹ prikaz.
<P>Ako koristite xdm (<B>X</B> <B>D</B>isplay <B>M</B>anager) za logiranje, imate puno
bolju metodu pristupa: MIT-MAGIC-COOKIE-1. Generira se 128-bitni kolaèiæ i
sprema u va¹u .Xauthority datoteku. Ako ¾elite omoguæiti pristup svom
prikazu s drugog raèunala, koristite naredbu xauth i informacije u va¹oj
.Xauthority datoteci kako bi se samo toj vezi dozvolio pristup. Proèitajte
X-na-daljinu mini-KAKO, dostupan na 
<A HREF="http://meta.mioc.hr/X-na-daljinu.html">http://meta.mioc.hr/X-na-daljinu.html</A>.
<P>Mo¾ete koristiti i ssh (v. ssh, gore) za sigurne X veze. To ima prednost
transparentnosti krajnjem korisniku, a znaèi da mre¾om kolaju samo
enkriptirani podaci.
<P>Za vi¹e informacija o sigurnosti u X-u pogledajte man stranicu Xauthority.
Najsigurnije je koristiti xdm za logiranje na svoju konzolu, a zatim ssh za
pokretanje X programa s udaljenih raèunala.
<P>
<H4><A NAME="ss6.11.2">6.11.2 SVGA</A>
</H4>

<P>
<P>SVGAlib programi obièno su SUID-root kako bi mogli pristupiti grafièkoj
kartici va¹eg Linux sustava. To ih èini vrlo opasnima. Ako se sru¹e, obièno
morate ponovo dignuti raèunalo da bi dobili koristivu konzolu. Provjerite da
su SVGA programi koje imate autentièni i da im se mo¾e barem pone¹to
vjerovati. Jo¹ bolje, nemojte ih uopæe imati.
<P>
<H4><A NAME="ss6.11.3">6.11.3 GGI</A>
</H4>

<P>
<P>Linux GGI (<B>G</B>eneric <B>G</B>raphics <B>I</B>nterface -- projekt opæeg
grafièkog suèelja) projekt poku¹ava rje¹iti nekoliko problema grafièkih suèelja na
Linuxu. GGI æe malen dio video koda pomaknuti u kernel, a zatim kontrolirati
pristup grafièkom sustavu. To znaèi da æe GGI moæi bilo kada dovesti va¹u
konzolu u dobro stanje. Takoðer æe omoguæiti sigurne kljuèeve za upozorenje
da na va¹oj konzoli ne rade trojanski konji koji se predstavljaju kao login.
<A HREF="http://synergy.caltech.edu/~ggi/">http://synergy.caltech.edu/~ggi/</A><P>
<HR>
<A HREF="Sigurnost-KAKO-7.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-5.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc6">Sadr¾aj</A>
</BODY>
</HTML>