/usr/share/doc/HOWTO/hr-html/Sigurnost-KAKO-4.html is in doc-linux-hr 20000416.1.
This file is owned by root:root, with mode 0o644.
The actual contents of the file can be viewed below.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 | <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
<META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
<TITLE>Sigurnost Linuxa KAKO: Lokalna sigurnost</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
<LINK HREF="Sigurnost-KAKO-5.html" REL=next>
<LINK HREF="Sigurnost-KAKO-3.html" REL=previous>
<LINK HREF="Sigurnost-KAKO.html#toc4" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-5.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-3.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc4">Sadr¾aj</A>
<HR>
<H1><A NAME="s4">4. Lokalna sigurnost</A></H1>
<P>
<P>Slijedeæa stvar koju trebate pogledati je osigurnost va¹eg sustava protiv
napada lokalnih korisnika. Jesmo li mi to rekli <EM>lokalnih</EM> korisnika? Da.
<P>Dobivanje pristupa lokalnom korisniku jedna je od prvih stvari koju uljezi u
sustav poku¹aju na svom putu do rootovog raèuna. Uz nedostatke lokalne
sigurnosti, zatim mogu "nadograditi" svoj obièni korisnièki pristup do
administratora kroz razne bagove i jadno namje¹tene lokalne usluge. Ako
svoju lokalnu sigurnost uèinite dobrom, uljez æe naiæi na jo¹ jednu
prepreku.
<P>Lokalni korisnici mogu uzrokovati dosta ¹tete na va¹em sustavu èak i
(posebno) ako su stvarno oni za koje se predstavljaju. Davanje raèuna
ljudima koje ne poznajete ili za koje nemate kontaktnih informacija vrlo je
lo¹a ideja.
<P>
<H2><A NAME="ss4.1">4.1 Stvaranje novih raèuna</A>
</H2>
<P>
<P>Korisnièke raèune trebali biste davati zadovoljavajuæi samo minimalne
potrebe zadatka koji obavljaju. Ako svom desetgodi¹njem sinu date raèun,
mo¾da æete htjeti da on ima pristup samo word procesoru ili programu za
crtanje i ne mo¾e brisati tuðe podatke.
<P>Nekoliko dobrih pravila procjenjivanja kod dopu¹tanja pristupa drugih ljudi
va¹em Linux stroju:
<UL>
<LI>Dajte im minimalne privilegije koje su im potrebne.</LI>
<LI>Budite svjesni kada/od kamo se logiraju, ili bi se trebali logirati.</LI>
<LI>Budite sigurni i zbri¹ite njihov raèun kada im vi¹e nije potreban.</LI>
</UL>
<P>Mnogi raèuni lokalnih korisnika koji se koriste u provalama sigurnosti nisu
kori¹teni mjesecima ili godinama. Po¹to ih nitko ne koristi, idealno su
sredstvo napada.
<P>
<H2><A NAME="ss4.2">4.2 Sigurnost roota</A>
</H2>
<P>
<P>Najtra¾eniji raèun na va¹em raèunalu je raèun administratora. On ima vlast
nad cijelim strojem, a mo¾da i nad drugim strojevima na mre¾i. Sjetite se da
bi rootov raèun trebali koristiti samo za vrlo kratke, odreðene zadatke, a
uglavnom biti obièni korisnik. Biti root cijelo vrijeme vrlo vrlo vrlo
je lo¹a ideja.
<P>Nekoliko trikova da ne zabrljate svoj vlastiti stroj dok ste root:
<UL>
<LI>Kada pokreæete neku slo¾enu naredbu, prvo je poku¹ajte pokrenuti u
ne-destruktivnom naèinu... Posebno naredbe koje koriste nadopunjavanje: tj.,
ako hoæete pokrenuti <CODE>rm foo*.bak</CODE>, umjesto toga prvo napi¹ite <CODE>ls
foo*.bak</CODE> i provjerite da li æete obrisati ne¾eljene datoteke. Kori¹tenje
naredbe <CODE>echo</CODE> umjesto destruktivnih naredbi takoðer ponekad poma¾e.
</LI>
<LI>Neki ljudi misle da tu poma¾e <CODE>touch /-i</CODE>. Tako æe vas naredbe poput
<CODE>rm -rf *</CODE> pitati da li stvarno ¾elite obrisati sve te datoteke. (Zato
¹to va¹a ljuska prvo nadopuni datoteku <CODE>-i</CODE> koju rm tretira kao opciju.)
To neæe pomoæi kod rm naredbi bez <CODE>*</CODE>. ;(
</LI>
<LI>Postanite root samo za pojedine posebne zadatke. Ako ne znate kako
ne¹to napraviti, vratite se u ljusku obiènog korisnika dok niste
<EM>sigurni</EM> ¹to root treba obaviti.
</LI>
<LI>Staza je vrlo va¾na za root korisnika. Naredbena staza, odnosno PATH
varijabla okru¾ja, odreðuje mjesta na kojima ljuska tra¾i prorgame.
Poku¹ajte ogranièiti stazu za root korisnika ¹to je vi¹e moguæe i nikad
nemojte koristiti <CODE>.</CODE>, odnosno "trenutni direktorij", u svojem PATH-u.
Takoðer nemojte u PATH-u imati direktorije u koje se mo¾e pisati jer
to omoguæava napadaèima mijenjanje ili smje¹tanje novih izvr¹nih datoteka u
va¹u naredbenu stazu tako da postanu root slijedeæi put kada vi
pokrenete tu naredbu.
</LI>
<LI>Nikad nemojte koristiti rlogin/rsh/rexec (takozvane <B>r-utilities</B>) alate
kao root. Oni su podlo¾ni mnogim napadima i vrlo opasni kada ih pokreæe
root. Nikad ne stvarajte <CODE>.rhosts</CODE> datoteku za roota.
</LI>
<LI>Datoteka /etc/securetty sadr¾i popis terminala s kojih se
root mo¾e logirati. Tu su predefinirane (na Red Hat Linuxu) samo
virtualne konzole (vty-i). Budite vrlo pa¾ljivi kod dodavanja bilo èega
drugog ovoj datoteci. Trebali biste moæi logirati se s daljine kao obièni
korisnik, a zatim, ako trebate, <CODE>su</CODE> (po moguænosti preko ssh-a ili
drugog enkriptiranog kanala), tako da nema potrebe za moguæno¹æu izravnog
logiranja kao root.
</LI>
<LI>Uvijek budite spori i odluèni dok ste root. Va¹i postupci mogu utjecati
na mnogo stvari. Razmislite prije tipkanja!
</LI>
<LI>Ako svakako morate dopustiti nekome (po moguænosti vrlo provjerenom)
nadkorisnièki pristup na va¹em raèunalu, ima nekoliko alata koji vam mogu
pomoæi. sudo omoguæava korisnicima da koriste svoju lozinku za pristup
ogranièenom skupu naredbi kao root. Na primjer, to omoguæava korisniku
da izbacuje i montira pokretljive
medije na va¹em Linux stroju, ali nema drugih root privilegija. sudo
ima i logove svih uspje¹nih i neuspje¹nih poku¹aja pokretanja tako da mo¾ete
otkriti tko je za ¹to koristio koju naredbu. Zato sudo dobro radi èak i na
mjestima gdje vi¹e ljudi ima pristup rootu tako da se mogu vidjeti
poèinjene promjene.
Iako se sudo mo¾e koristiti za davanje odreðenih privilegija odreðenom
korisniku za odreðene zadatke, ima nekoliko nedostataka. Trebalo bi ga
koristiti samo za ogranièen skup zadataka, kao ¹to ponovno pokretanje
servera ili dodavanje novih korisnika. Svaki program koji nudi izlaz u
ljusku dat æe korisniku pristup rootu. Na primjer, to vrijedi za veæinu
editora. Takoðer, nevin program poput <CODE>/bin/cat</CODE> mo¾e se koristiti za
prepisivanje datoteka tako da se pristup rootu mo¾e zloæudno
iskori¹tavati. sudo smatrajte sredstvom za voðenje raèuna i ne oèekujte da
zamijeni roota i uz to bude siguran.</LI>
</UL>
<P>
<HR>
<A HREF="Sigurnost-KAKO-5.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-3.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc4">Sadr¾aj</A>
</BODY>
</HTML>
|