nixp.ru v3.0

24 мая 2017,
среда,
14:38:16 MSK

DevOps с компанией «Флант»
ttoorrmmoozz написал 8 февраля 2005 года в 17:09 (287 просмотров) Ведет себя неопределенно; открыл 21 тему в форуме, оставил 25 комментариев на сайте.

Все вопросы относятся к современным дистрибутивам .типа 3-й федоры

1. Что означает shadow password support

Что это такое и устанавливается ли эта штука по умолчанию на современных

дистрибутивах ?

2. Как вы можете прокомментировать следующую команду :

rm -f /etc/security/console.apps/

3. Можно ли редактированием всего лишь в одном файле — inetd.conf -

отключить сервисы типа ftp, telnet, shell, login, exec, talk, ntalk, imap на современных дистрибутивах ?

4. Можно ли путем изменения /etc/services добавить сервисы ?

5. Как заблокировать команду su для входа в систему с привилегированными правами ?

// Тему переместил(а) fly4life из форума «UNIX FAQ».

Master
ttoorrmmoozz
Все вопросы относятся к современным дистрибутивам .типа 3-й федоры

1. Что означает shadow password support

Что это такое и устанавливается ли эта штука по умолчанию на современных дистрибутивах ?

http://www.tldp.org/HOWTO/Shadow-Password-HOWTO.html

3. Можно ли редактированием всего лишь в одном файле — inetd.conf -

отключить сервисы типа ftp, telnet, shell, login, exec, talk, ntalk, imap на современных дистрибутивах ?

Можно, если эти сервисы запукаются через inetd и перезапустив inetd полсе правки конфига (kill -HUP …)

4. Можно ли путем изменения /etc/services добавить сервисы ?

Всмысле?

5. Как заблокировать команду su для входа в систему с привилегированными правами ?

Если ты не знаешь рутового пароля (или пароля пользователя на которого нужно перейти), то и ничего не сделаешь.

ttoorrmmoozz
Master
Если ты не знаешь рутового пароля (или пароля пользователя на которого нужно перейти), то и ничего не сделаешь.

Как раз имеется ввиду , что пользователь-таки подобрал рутовый пароль :-)

fly4life
ttoorrmmoozz
Все вопросы относятся к современным дистрибутивам .типа 3-й федоры

1. Что означает shadow password support

Что это такое и устанавливается ли эта штука по умолчанию на современных

дистрибутивах ?

Это механизм хранения паролей. Да, в современных дистрибутивах устанавливается по молчаннию.

Зачем нужны «теневые» пароли — поищи в гугле.

ttoorrmmoozz
2. Как вы можете прокомментировать следующую команду :

rm -f /etc/security/console.apps/

Ну, каков вопрос, таков ответ:

rm — команда для удаления файлов и директорий. С ключиком '-f' (--force) игнорирует всякие ошибки и ничего не выводит на консоль в процессе удаления. /etc/security/console.apps/ — некий файл. Приведённая тобой команда удаляет некий загадочный файл , игнорируя ошибки при удалении.

;)

ttoorrmmoozz
3. Можно ли редактированием всего лишь в одном файле — inetd.conf -

отключить сервисы типа ftp, telnet, shell, login, exec, talk, ntalk, imap на современных дистрибутивах ?

Теперь это xinetd.conf. Если перечисленные тобой сервисы не запускаются как standalone, то можно.

Если вообще отключить сам xinetd, то ничего редактировать не надо ;)

П.С. Что за сервисы ’shell' и 'login' я так и не понял.

ttoorrmmoozz
4. Можно ли путем изменения /etc/services добавить сервисы ?

А что мы понимаем под словом «сервис»?

В /etc/services находятся описания сервисов. Точнее, соответствия портов стандартным сервисам. Нужно это для того, чтобы некоторые программы могли обращаться по имени сервиса, а не по цифровому занчению (порту).

ttoorrmmoozz
5. Как заблокировать команду su для входа в систему с привилегированными правами ?

Зная пароль «привелегированного» пользователя тебе и su не понадобится ;) Намёк понятен?

ttoorrmmoozz
fly4life
Зная пароль «привелегированного» пользователя тебе и su не понадобится ;) Намёк понятен?

Вообще-то да , похоже я глупость спорол .

Genie
fly4life
Зная пароль «привелегированного» пользователя тебе и su не понадобится ;) Намёк понятен?

сие верно только для локального доступа…

если удалённый логин рутом запрещён, а на /bun/su выставлено rws-r-x— и только некоторые пользователи внесены в группу, скажем, users_of_su, то, в общем-то, ограничение действенное.

fly4life
Genie
сие верно только для локального доступа…

если удалённый логин рутом запрещён, а на /bun/su выставлено rws-r-x— и только некоторые пользователи внесены в группу, скажем, users_of_su, то, в общем-то, ограничение действенное.

В исходной постановке задачи говорилось о том, чтобы нельзя было логиниться с привилегированными правами с помощью команды su, а не об ограничении круга тех, кто может использовать команду su.

ttoorrmmoozz

По поводу su я имел ввиду следующее :

у этой команды кажется есть конфиг.

В него можно добавить пару строк типа :

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/Pam_wheel.so group=wheel

Это означает , что только пользователи группы «wheel» смогут залогиниться

через su под рутом

Master
ttoorrmmoozz
По поводу su я имел ввиду следующее :

у этой команды кажется есть конфиг.

В него можно добавить пару строк типа :

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/Pam_wheel.so group=wheel

Это означает , что только пользователи группы «wheel» смогут залогиниться

через su под рутом

Это конфиг не su, a pam. В Слаке например нет pam и там это делается через login.defs

Genie
В исходной постановке задачи говорилось о том, чтобы нельзя было логиниться с привилегированными правами с помощью команды su, а не об ограничении круга тех, кто может использовать команду su.

мнээээ… ээттааа..

я чего-то не понимаю, видимо..

разъясняй тогда давай различия «логиниться … с помощью команды su» и «использовать команду su».

fly4life
Genie
мнээээ… ээттааа..

я чего-то не понимаю, видимо..

разъясняй тогда давай различия «логиниться … с помощью команды su» и «использовать команду su».

=)

В моём понимании, логиниться — это попасть в оболочку с правами привелегированного пользователя посредством команды ’su’. Т.е., насколько я понял, ttoorrmmoozz’у надо, чтобы использовать команду su не запрещалось никому, но посылало всех нафиг при попытке залогинить под root’ом.

Использовать команду su — это иметь доступ на запуск самой программы, к самому бинарнику /bin/su (т.е. соответствующие права в триадах rwx).

Поэтому «логинить с помощью» и «использовать» для меня разные вещи.

Примерно так ;)

Genie

ну, разве что в таком понимании разница есть..

для меня, к примеру, разницы особой в использоваии команды su в вышеописанных позах нет принципиально никакой.

потому как есть более вменяемое sudo…

anonymous
Genie
сие верно только для локального доступа…

если удалённый логин рутом запрещён, а на /bun/su выставлено rws-r-x— и только некоторые пользователи внесены в группу, скажем, users_of_su, то, в общем-то, ограничение действенное.

А что , неужели нельзя настроить терминал на запрет логиниться под юзером root ?

Uncle Theodore
redbeard
А что , неужели нельзя настроить терминал на запрет логиниться под юзером root ?

less /etc/securetty

Good Luck,

UT

anonymous
Uncle Theodore
less /etc/securetty

Спасибо, конечно, но у меня не Linux. Вопрос не требовал ответа.