This file is indexed.

/usr/share/doc/HOWTO/hr-html/Sigurnost-KAKO-4.html is in doc-linux-hr 20000416.1.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below.

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.11">
 <TITLE>Sigurnost Linuxa KAKO: Lokalna sigurnost</TITLE>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=ISO-8859-2">
 <LINK HREF="Sigurnost-KAKO-5.html" REL=next>
 <LINK HREF="Sigurnost-KAKO-3.html" REL=previous>
 <LINK HREF="Sigurnost-KAKO.html#toc4" REL=contents>
</HEAD>
<BODY>
<A HREF="Sigurnost-KAKO-5.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-3.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc4">Sadr¾aj</A>
<HR>
<H1><A NAME="s4">4. Lokalna sigurnost</A></H1>

<P>
<P>Slijedeæa stvar koju trebate pogledati je osigurnost va¹eg sustava protiv
napada lokalnih korisnika. Jesmo li mi to rekli <EM>lokalnih</EM> korisnika? Da.
<P>Dobivanje pristupa lokalnom korisniku jedna je od prvih stvari koju uljezi u
sustav poku¹aju na svom putu do rootovog raèuna. Uz nedostatke lokalne
sigurnosti, zatim mogu "nadograditi" svoj obièni korisnièki pristup do
administratora kroz razne bagove i jadno namje¹tene lokalne usluge. Ako
svoju lokalnu sigurnost uèinite dobrom, uljez æe naiæi na jo¹ jednu
prepreku.
<P>Lokalni korisnici mogu uzrokovati dosta ¹tete na va¹em sustavu èak i
(posebno) ako su stvarno oni za koje se predstavljaju. Davanje raèuna
ljudima koje ne poznajete ili za koje nemate kontaktnih informacija vrlo je
lo¹a ideja.
<P>
<H2><A NAME="ss4.1">4.1 Stvaranje novih raèuna</A>
</H2>

<P>
<P>Korisnièke raèune trebali biste davati zadovoljavajuæi samo minimalne
potrebe zadatka koji obavljaju. Ako svom desetgodi¹njem sinu date raèun,
mo¾da æete htjeti da on ima pristup samo word procesoru ili programu za
crtanje i ne mo¾e brisati tuðe podatke.
<P>Nekoliko dobrih pravila procjenjivanja kod dopu¹tanja pristupa drugih ljudi
va¹em Linux stroju:
<UL>
<LI>Dajte im minimalne privilegije koje su im potrebne.</LI>
<LI>Budite svjesni kada/od kamo se logiraju, ili bi se trebali logirati.</LI>
<LI>Budite sigurni i zbri¹ite njihov raèun kada im vi¹e nije potreban.</LI>
</UL>
<P>Mnogi raèuni lokalnih korisnika koji se koriste u provalama sigurnosti nisu
kori¹teni mjesecima ili godinama. Po¹to ih nitko ne koristi, idealno su
sredstvo napada.
<P>
<H2><A NAME="ss4.2">4.2 Sigurnost roota</A>
</H2>

<P>
<P>Najtra¾eniji raèun na va¹em raèunalu je raèun administratora. On ima vlast
nad cijelim strojem, a mo¾da i nad drugim strojevima na mre¾i. Sjetite se da
bi rootov raèun trebali koristiti samo za vrlo kratke, odreðene zadatke, a
uglavnom biti obièni korisnik. Biti root cijelo vrijeme vrlo vrlo vrlo
je lo¹a ideja.
<P>Nekoliko trikova da ne zabrljate svoj vlastiti stroj dok ste root:
<UL>
<LI>Kada pokreæete neku slo¾enu naredbu, prvo je poku¹ajte pokrenuti u
ne-destruktivnom naèinu... Posebno naredbe koje koriste nadopunjavanje: tj.,
ako hoæete pokrenuti <CODE>rm foo*.bak</CODE>, umjesto toga prvo napi¹ite <CODE>ls
foo*.bak</CODE> i provjerite da li æete obrisati ne¾eljene datoteke. Kori¹tenje
naredbe <CODE>echo</CODE> umjesto destruktivnih naredbi takoðer ponekad poma¾e.
</LI>
<LI>Neki ljudi misle da tu poma¾e <CODE>touch /-i</CODE>. Tako æe vas naredbe poput
<CODE>rm -rf *</CODE> pitati da li stvarno ¾elite obrisati sve te datoteke. (Zato
¹to va¹a ljuska prvo nadopuni datoteku <CODE>-i</CODE> koju rm tretira kao opciju.)
To neæe pomoæi kod rm naredbi bez <CODE>*</CODE>. ;(
</LI>
<LI>Postanite root samo za pojedine posebne zadatke. Ako ne znate kako
ne¹to napraviti, vratite se u ljusku obiènog korisnika dok niste
<EM>sigurni</EM> ¹to root treba obaviti.
</LI>
<LI>Staza je vrlo va¾na za root korisnika. Naredbena staza, odnosno PATH
varijabla okru¾ja, odreðuje mjesta na kojima ljuska tra¾i prorgame.
Poku¹ajte ogranièiti stazu za root korisnika ¹to je vi¹e moguæe i nikad
nemojte koristiti <CODE>.</CODE>, odnosno "trenutni direktorij", u svojem PATH-u.
Takoðer nemojte u PATH-u imati direktorije u koje se mo¾e pisati jer
to omoguæava napadaèima mijenjanje ili smje¹tanje novih izvr¹nih datoteka u
va¹u naredbenu stazu tako da postanu root slijedeæi put kada vi
pokrenete tu naredbu.
</LI>
<LI>Nikad nemojte koristiti rlogin/rsh/rexec (takozvane <B>r-utilities</B>) alate
kao root. Oni su podlo¾ni mnogim napadima i vrlo opasni kada ih pokreæe
root. Nikad ne stvarajte <CODE>.rhosts</CODE> datoteku za roota.
</LI>
<LI>Datoteka /etc/securetty sadr¾i popis terminala s kojih se
root mo¾e logirati. Tu su predefinirane (na Red Hat Linuxu) samo
virtualne konzole (vty-i). Budite vrlo pa¾ljivi kod dodavanja bilo èega
drugog ovoj datoteci. Trebali biste moæi logirati se s daljine kao obièni
korisnik, a zatim, ako trebate, <CODE>su</CODE> (po moguænosti preko ssh-a ili
drugog enkriptiranog kanala), tako da nema potrebe za moguæno¹æu izravnog
logiranja kao root.
</LI>
<LI>Uvijek budite spori i odluèni dok ste root. Va¹i postupci mogu utjecati
na mnogo stvari. Razmislite prije tipkanja!
</LI>
<LI>Ako svakako morate dopustiti nekome (po moguænosti vrlo provjerenom)
nadkorisnièki pristup na va¹em raèunalu, ima nekoliko alata koji vam mogu
pomoæi. sudo omoguæava korisnicima da koriste svoju lozinku za pristup
ogranièenom skupu naredbi kao root. Na primjer, to omoguæava korisniku
da izbacuje i montira pokretljive 
medije na va¹em Linux stroju, ali nema drugih root privilegija. sudo
ima i logove svih uspje¹nih i neuspje¹nih poku¹aja pokretanja tako da mo¾ete
otkriti tko je za ¹to koristio koju naredbu. Zato sudo dobro radi èak i na
mjestima gdje vi¹e ljudi ima pristup rootu tako da se mogu vidjeti
poèinjene promjene.

Iako se sudo mo¾e koristiti za davanje odreðenih privilegija odreðenom
korisniku za odreðene zadatke, ima nekoliko nedostataka. Trebalo bi ga
koristiti samo za ogranièen skup zadataka, kao ¹to ponovno pokretanje
servera ili dodavanje novih korisnika. Svaki program koji nudi izlaz u
ljusku dat æe korisniku pristup rootu. Na primjer, to vrijedi za veæinu
editora. Takoðer, nevin program poput <CODE>/bin/cat</CODE> mo¾e se koristiti za
prepisivanje datoteka tako da se pristup rootu mo¾e zloæudno
iskori¹tavati. sudo smatrajte sredstvom za voðenje raèuna i ne oèekujte da
zamijeni roota i uz to bude siguran.</LI>
</UL>
<P>
<HR>
<A HREF="Sigurnost-KAKO-5.html">Sljedeæi dio</A>
<A HREF="Sigurnost-KAKO-3.html">Prethodni dio</A>
<A HREF="Sigurnost-KAKO.html#toc4">Sadr¾aj</A>
</BODY>
</HTML>