Temat: Open Source traktowane na równi z piractwem

Paweł B.:

Na konto roota, nie domyślnie, ale mogę się zalogować.

:)
Bo istnieje możliwość tego wykonania. Więcej: mam Slackware. W błogiej nieświadomości żyłem przez kilka pierwszych mies. walki ze Slackiem (na szczęście wówczas Internetu nie zdołałem skonfigurować sobie)., tym samym komendę adduser uważałem za totalnie zbędną w moim systemie. :) Wraz z nabyciem świadomości czym taka zabawa grozić może postanowiłem zaznajomić się z możliwościami tej komendy.

Przynajmniej w moich dystrybucjach a są całkiem nowe (gentoo i debian). Znam też hasło do tego konta.
Komenda "ps -e u" pokazuje, że procesy o najniższych numerkach i wyglądające całkiemm systemowo mają usera root, czyli tego samego, którego hasło ustaliłem przy instalacji.

To, że przy procesie pojawia się user root i grupa root wcale nie znaczy, że to są procesy roota. Owszem, część faktycznie może być procesami roota, ale to raczej usługi systemowe.
I jeśli tak, dla eksperymentu: spróbuj coś wykill'ować, co ma jako ownera roota. :) System powinien spuścić Cię na drzewo, jeśli nie masz odpowiednich uprawnień.

W Windowsie konto system (tak, znaczna część usług jest na nim uruchamiana, niektóre podpbnie do L mają własne konta) ma inne domyślne uprawnienia od grupy administratorów. Czasem jest to istotne z punktu widzenia bezpieczeństwa, na przykład system domyślnie nie ma prawa korzystać z zasobów sieciowych ani autoryzować z zewnątrz, nie ma też prawa do przejmowania na własność.

Generalnie, w Linuksie (i znowu, tym razem to ja proszę o poparcie moich domysłów fachową wiedzą) z tego co się orientuję jest coś takiego jak user namespace (co jest pewną formą "mapowania" do trybu użytkownika pewnych niezbędnych bloków pamięci systemu. Ale wszystko (odwołania, na przykład) i tak jest weryfikowane przez sam system operacyjny.

Temat: Open Source traktowane na równi z piractwem

Paweł B.:

Na konto roota, nie domyślnie, ale mogę się zalogować. Przynajmniej w moich dystrybucjach a są całkiem nowe (gentoo i debian). Znam też hasło do tego konta.

A np. w Ubuntu się nie da... Konto roota ma w /etc/shadow taki wpis:

root:!:13961:0:99999:7:::

Nie istnieje hasło, którym moznaby się zalogowac na konto roota. Dostęp jest tylko przez sudo.

Komenda "ps -e u" pokazuje, że procesy o najniższych numerkach i wyglądające całkiemm systemowo mają usera root, czyli tego samego, którego hasło ustaliłem przy instalacji. W Windowsie

No trudno żeby np. init, który zarządza wszystkimi innymi procesami w systemie, nie był uruchamiany z UID roota. Zwróc uwagę, że proces dziedziczy UID po swoim rodzicu, więc gdyby init nie miał praw roota, ŻADEN proces w systemie nie dałby się uruchomić z prawami roota (setuidy też by nie działały).
Pewne usługi sieciowe (jak np. inetd) też muszą miec prawa roota, aby np. móc zmienić UID swoim procesom potomnym, które uruchamiają, na taki o niższych uprawnieniach.

konto system (tak, znaczna część usług jest na nim uruchamiana, niektóre podpbnie do L mają własne konta) ma inne domyślne uprawnienia od grupy administratorów. Czasem jest to istotne z punktu widzenia bezpieczeństwa, na przykład system domyślnie nie ma prawa korzystać z zasobów sieciowych ani autoryzować z zewnątrz, nie ma też prawa do przejmowania na własność.

W przypadku usług, które nie muszą miec praw roota, standardowo uruchamia się je na oddzielnych kontach, o czym już pisałem.

Poza tym jeszcze są takie mechanizmy, w które w tej chwili nie wchodzę, jak SELinux czy PAM, które potrafią ograniczyć określonym procesom/użytkownikom prawa do wykonania określonych operacji, niezależnie od UID-ów. Proces może działać z prawami roota, a jednak SELinux może mu nie pozwalac np. na zapis w okreslonych miejscach.Jarosław Rafa edytował(a) ten post dnia 07.03.10 o godzinie 20:47

Temat: Open Source traktowane na równi z piractwem

.Michał Panasiewicz edytował(a) ten post dnia 08.03.10 o godzinie 00:14