Diesem Artikel muss auf Schaerfste widersprochen werden! Und zwar, weil mit secuity nicht zu spassen ist.
a) Wenn jemand eine shell innehat, so heisst das in erster Linie, das irgendjemand SYSTEMRESOURCEN beanspruchen _KANN_. Wer die LKML (LinuxKernelMailingListe) verfolgt, dem/r sind sicher die letzten DoS (Denial Of Service) Beispiele nicht entgangen. => Ein shell-benutzer koennte einen Rechner lahmlegen. Das dies nicht geschieht muss vorerst vom BS sichergestellt werden!
b) wolfgang@pro-linux.de Dieses Beispiel stimmt nicht. Denn das es eine Adresse wie oben gibt, laesst NICHT folgern, das es einen BENUTZER 'wolfgang' auf diesem System gibt!!! (Stichwort 'alias')
Was wichtig ist, ist das Prinzip, dass mensch/compi so wenig Infos wie moeglich preisgibt. (z. B. Abschaltung von fingerd)
Nach Wolfgangs These koennte ich ja gleich mein rootpassword posten !!!
Das mit "Security by obscurity" hat er falsch verstanden. Sorry!
c) Was aber sicherheitstechnisch viel wichtiger ist, wie verhaelt es sich mit "root" bei HURD? DAS sind die interessanten Fragen. Das (theoretisch) sichere EROS hat z. B. gar keinen "superuser".
Einige der von dir angesprochenen Themen wurden auch in den Mailinglisten sehr heftig diskutiert und einige Leute stimmten den Hurd-Entwicklern tatsächlich nicht zu.
Man kann bei GNU/Hurd die Login-Shell deaktivieren (war mir noch nicht bekannt als ich den Artikel schrieb), aber sie kann in einigen Bereichen nützlich sein und ist sicherer als ein guest-User(!).
Wenn remote-root-login deaktiviert ist (was standardmäßig wohl überall der Fall ist) und keiner zu dir an den Rechner kommt kannst du in der Tat dein root-Passwort veröffentlichen. Wenn ich "security by obscurity" falsch verstanden habe haben es aber sehr viele andere Leute auch :-)
Bezüglich deiner Frage über den des root-User ist zu sagen dass es ihn gibt, aber dass er eine geringere Rolle spielt weil für viele Dinge keine root-Privilegien benötigt werden, du kannst z.B. ein eigenes Dateisystem programmieren und benutzen ohne root-Privilegien auf einer Maschiene und ohne die Stabilität zu gefährden (was wohl für Kernelentwickler sehr interessant sein dürfte).
Derzeit wird wohl niemand den Hurd wirklich einsetzen wenn es um Sicherheit geht (ich möchte gar nicht wissen wieviele Sicherheitslücken er hat). Aber der Hurd-Server hurd.zugzug.com läuft glaube ich seit über 40 Tagen ohne Neustart :-)
Einen "superuser" als solches gibt es bei Windows NT auch nicht. Dem Administrator kann sehr wohl jedes Recht entzogen werden. Und das wäre auch unter Linux gut.
Ist in einer linux-Liste zwar sowieso off-topic, aber: Du bist Dir wirklich sicher, dass Du einem lokalen NT-admin irgendwelche Rechte entziehen kannst, die er sich nicht wieder selber geben kann? Ich bin mir da nicht soooo sicher... Ausserdem, vielleicht versteh ich das alles nur nicht, aber IRGENDWER muss doch so eine Art root sein, oder?!? Wer sollte denn sonst den Administratoren (oder roots oder sonstwem) die Rechte geben oder entziehen? Verwirrung...
Ein NT-Admin hat genau die gleichen Rechte wie ein Unix-root-user. Der Unterschied ist lediglich der, daß sich ein NT-Admin die Rechte _temporär_ entziehen kann.
Siehe dazu auch die Diskussion von Jeremy Allison, z.B.: <8b1uer$gqi$1@slb6.atl.mindspring.net>
Die Rechte des NT-Admin stellen also eine Art "sind sie sicher?" dar. Sowas in der Art hätte ich mich zwar auch schon unter Unix gewünscht, das ist aber eine Sache der userland tools und hat weniger mit dem Konzept eine roots zu tun.
Hmm also wenn ich versuche mich mit Namen einzuloggen die es nicht gibt wird sehr wohl nach einem Passwort gefragt. Ich versteh das Problem also jetzt gar nicht. Das Problem mit dem Superuser halte ich aber sehr wohl für relevant.
Also irgendwie überzeugt mich das Konzept nicht so ganz. Das ist wie ein anonymous ftp Zugang, den man nicht abschalten kann.
Man kann zwar verhindern daß anonymous was zu sehen bekommt, aber nicht, daß er überhaupt als anonymous reinkommt?! (Ich kenn Hurd nicht näher, hab' nur den Artikel hier gelesen.)
Von Christoph Hellwig am Di, 28. März 2000 um 16:57 #
Auch unter linux kann man dem root-user alle rechte entziehen ! rechte sind unter linux schon lange nicht mehr an die uid null gebunden, sondern an sogenannte 'capabilities'. Diese können system, user oder prozessweit entzogen werden. Derzeit hat root per default noch alle capabilities, aber man kann sie ihm (noch recht umständlich) entziehen. In späteren linux-versionen wird man das wesentlich einfacher tuen können, außerdem können dann capabilities an binaries gebunden werden. Noch in diesem jahr will sgi darauf basiert eine linux-installation c1-zertifizieren.
> Noch in diesem jahr will sgi darauf basiert eine linux-installation c1-zertifizieren.
Klingt gut, aber wenn sehe wie lange es gedauert hat, bis NT4 das C2 geschafft hat (war IMHO im November 99), dann hoffe ich, daß das mehr an NT als am Zertifizierungsprozeß lag (obwohl ich eher das Gegenteil glaube).
Und zwar, weil mit secuity nicht zu spassen ist.
a)
Wenn jemand eine shell innehat, so heisst das
in erster Linie, das irgendjemand SYSTEMRESOURCEN beanspruchen _KANN_.
Wer die LKML (LinuxKernelMailingListe) verfolgt,
dem/r sind sicher die letzten DoS (Denial Of Service) Beispiele nicht entgangen.
=> Ein shell-benutzer koennte einen
Rechner lahmlegen.
Das dies nicht geschieht muss vorerst vom
BS sichergestellt werden!
b)
wolfgang@pro-linux.de
Dieses Beispiel stimmt nicht.
Denn das es eine Adresse wie oben gibt,
laesst NICHT folgern, das
es einen BENUTZER 'wolfgang' auf diesem
System gibt!!! (Stichwort 'alias')
Was wichtig ist, ist das Prinzip,
dass mensch/compi so wenig Infos wie moeglich
preisgibt. (z. B. Abschaltung von fingerd)
Nach Wolfgangs These koennte ich ja
gleich mein rootpassword posten !!!
Das mit "Security by obscurity" hat er
falsch verstanden. Sorry!
c)
Was aber sicherheitstechnisch viel
wichtiger ist, wie
verhaelt es sich mit "root" bei HURD?
DAS sind die interessanten Fragen.
Das (theoretisch) sichere EROS hat z. B.
gar keinen "superuser".
Mosh
Einige der von dir angesprochenen Themen wurden auch in den Mailinglisten sehr heftig diskutiert und einige Leute stimmten den Hurd-Entwicklern tatsächlich nicht zu.
Man kann bei GNU/Hurd die Login-Shell deaktivieren (war mir noch nicht bekannt als ich den Artikel schrieb), aber sie kann in einigen Bereichen nützlich sein und ist sicherer als ein guest-User(!).
Wenn remote-root-login deaktiviert ist (was standardmäßig wohl überall der Fall ist) und keiner zu dir an den Rechner kommt kannst du in der Tat dein root-Passwort veröffentlichen. Wenn ich "security by obscurity" falsch verstanden habe haben es aber sehr viele andere Leute auch :-)
Bezüglich deiner Frage über den des root-User ist zu sagen dass es ihn gibt, aber dass er eine geringere Rolle spielt weil für viele Dinge keine root-Privilegien benötigt werden, du kannst z.B. ein eigenes Dateisystem programmieren und benutzen ohne root-Privilegien auf einer Maschiene und ohne die Stabilität zu gefährden (was wohl für Kernelentwickler sehr interessant sein dürfte).
Derzeit wird wohl niemand den Hurd wirklich einsetzen wenn es um Sicherheit geht (ich möchte gar nicht wissen wieviele Sicherheitslücken er hat). Aber der Hurd-Server hurd.zugzug.com läuft glaube ich seit über 40 Tagen ohne Neustart :-)
GNUesse von Wolfgang
11:58:09 PM up 12 weeks, 2 users, load averages: 0.20, 0.10, 0.08
Das soll mal einer mit NT schaffen ;-)
EA80
Dem Administrator kann sehr wohl jedes Recht entzogen werden.
Und das wäre auch unter Linux gut.
Wayne
Du bist Dir wirklich sicher, dass Du einem lokalen NT-admin irgendwelche Rechte entziehen kannst, die er sich nicht wieder selber geben kann? Ich bin mir da nicht soooo sicher...
Ausserdem, vielleicht versteh ich das alles nur nicht, aber IRGENDWER muss doch so eine Art root sein, oder?!? Wer sollte denn sonst den Administratoren (oder roots oder sonstwem) die Rechte geben oder entziehen?
Verwirrung...
Andy
Siehe dazu auch die Diskussion von Jeremy Allison, z.B.:
<8b1uer$gqi$1@slb6.atl.mindspring.net>
Die Rechte des NT-Admin stellen also eine Art "sind sie sicher?" dar.
Sowas in der Art hätte ich mich zwar auch schon unter Unix gewünscht, das ist aber eine Sache der userland tools und hat weniger mit dem Konzept eine roots zu tun.
Das Problem mit dem Superuser halte ich aber sehr wohl für relevant.
Sirko
Man kann zwar verhindern daß anonymous was zu sehen bekommt, aber nicht, daß er überhaupt als anonymous reinkommt?! (Ich kenn Hurd nicht näher, hab' nur den Artikel hier gelesen.)
GNUesse von Wolfgang
rechte sind unter linux schon lange nicht mehr an die uid null gebunden, sondern an sogenannte 'capabilities'. Diese können system, user oder prozessweit entzogen werden. Derzeit hat root per default noch alle capabilities, aber man kann sie ihm (noch recht umständlich) entziehen.
In späteren linux-versionen wird man das wesentlich einfacher tuen können, außerdem können dann capabilities an binaries gebunden werden.
Noch in diesem jahr will sgi darauf basiert eine linux-installation c1-zertifizieren.
Christoph
Klingt gut, aber wenn sehe wie lange es gedauert hat, bis NT4 das C2 geschafft hat
(war IMHO im November 99), dann hoffe ich, daß das mehr an NT als am Zertifizierungsprozeß lag (obwohl ich eher das Gegenteil glaube).