Odstraneni gcc

DanGer danger at wilbury.sk
Sat Dec 18 15:30:04 CET 2004


Zdravim Roman,

Saturday, December 18, 2004, 2:45:56 PM, si napisal:

> # danger at wilbury.sk / 2004-12-18 12:18:23 +0100:
>> Saturday, December 18, 2004, 2:32:03 AM, si pisal:
>> > # danger at wilbury.sk / 2004-12-17 20:04:09 +0100:
>> >>   k comu prospeje ked si niekto z masiny odstrani gcc? predsa tie
>> >>   binarky si este stale moze skompilovat u seba a uploadnut na dotycny
>> >>   stroj, pricom mu na to vobec gcc netreba...
>> 
>> >     protoze kazda blbost, kterou muzete utocnikovi zkomplikovat zivot,
>> >     byt jen o pdimetr, se pocita. utocnik napr. nemusi mit (snadny)
>> >     pristup ke stejnemu operacnimu systemu, nebo stejne verzi, a nutnost
>> >     nekde neco shanet muze delat rozdil, protoze ho proste vlastni
>> >     lenost odradi.
>> 
>>   mne osobne to pride dost cudne riesenie snazit sa uplne odstranit gcc
>>   zo systemu (nepokladam sa vsak ze nejakeho security specialistu). ja
>>   sam som si zvykol vytvorit skupinu "make" chownut a chmodnut gcc,
>>   make a obdobne binarky a do tejto skupiny dat uz len uzivatelov co
>>   si mozu kompilovat na stroji.

>     typicky pripad: ve firme pracuje nekolik administratoru. oba jsou
>     na serverech (na ktere se nikdo jiny nemuze prihlasit) cleny skupiny
>     make. jeden z nich ve zlem odejde, ale zna heslo toho druheho, takze
>     se na server porad dostane. k cemu je vam pak, ze nulova mnozina
>     uzivatelu v AllowUsers, kteri nejsou cleny skupiny make, si
>     kompilaci nemuze pustit?

  kolega nema co poznat vase heslo. nato ma predsa svoj account. este
  stale si to heslo mozte kludne zmenit po tom, ako kolega odide.
  neviem, ale mam pocit ze vacsinou ludia pouzivaju na authentifikaciu
  na take stroje skor ssh keys ako hesla (to je vsak moj nazor, neviem
  ci to tak je aj medzi ostatnymi). neviem si predstavit situaciu,
  kedy ma clovek na starost niekolko 100 masin a na kazdej ma nejake
  heslo...

>     reknete: "k cemu je v takove situaci chybejici gcc, propusteny
>     admin si proste binarku nakopiruje s scp". administrator ma doma
>     jenom CURRENT, ale na serveru je 4.x. nez by resil instalaci stejne
>     verze doma, mavne nad utokem rukou, a jde si po svem. voila,
>     chybejici gcc pomohlo.

  pokial nastane situacia, ze treba admina prepustit, je samozrejme,
  ze aj jeho account na vsetkych masinach je potrebne deaktivovat.
  
>     vysoce motivovaneho utocnika to neodradi, ale jsou situace, kdy
>     nepritomnost kompilatoru udela rozdil mezi otrojanovanym, nebo
>     cistym strojem.

  ...

-- 
Tak caf...

+----------==/\/\==----------+       (__)      FreeBSD
| DanGer <danger at wilbury.sk> |    \\\'',)      The
| DanGer at IRCnet ICQ261701668 |      \/  \ ^    Power
| http://danger.homeunix.org |      .\._/_)    To
+----------==\/\/==----------+                 Serve

[ taktika, ktora sa osvedci teoreticky, sa neosvedci pri treningu. Ktora
sa osvedci pri treningu, skrachuje pri zapase. ]




More information about the Users-l mailing list