Як стати суперкористувачем - розбираємося в роботі unix-систем
Команда su: заміна ідентифікатора користувача
Краще скористатися командою su. Будучи викликаною без аргументів, вона видасть запрошення на введення пароля користувача root, а потім запустить командний інтерпретатор з правами користувача root. Інтерпретатор буде виконуватися в привілейованому режимі, поки не завершить роботу (по команді exit або при натисканні клавіш
Команда su здатна також підставляти замість імені root імена інших користувачів. Іноді єдиний спосіб вирішити проблему користувача - увійти за допомогою команди su в його середовище.
Знаючи чийсь пароль, можна безпосередньо зареєструватися в системі під його ім'ям, виконавши команду suімя користувача. В одних системах пароль користувача root дозволяє реєструватися за допомогою команд su або login під будь-яким ім'ям, а в інших спочатку потрібно стати суперкористувачем, скориставшись командою su. а потім за допомогою цієї ж команди перейти в інший обліковий запис.
Рекомендуємо взяти за правило при введенні команди використовувати повне колійне ім'я, наприклад / bin / su або / usr / bin / su. а не просто su. Це в якійсь мірі захистить вас від тих програм з ім'ям su. які навмисно були прописані у змінній PATH зловмисником, які мали намір "зібрати хороший урожай" паролів.
У багатьох системах виконувати команду su мають право тільки члени групи wheel.
Програма sudo: обмежений варіант команди su
Програма sudo як аргумент приймає командний рядок, яка підлягає виконанню з правами користувача root (або іншої уповноваженої користувача). Програма звертається до файлу / etc / sudoers. який містить список користувачів, які мають дозвіл на її виконання, і перелік команд, які вони можуть використовувати на конкретній машині. Якщо пропонована команда дозволена, програма sudo запрошує користувача ввести його власний пароль і виконує команду від імені суперкористувача.
До закінчення п'ятихвилинного періоду бездіяльності (його тривалість можна змінювати) програма sudo дозволяє виконувати інші команди, не вводячи пароля. Такий захід - захист від тих привілейованих користувачів, які кидають свої термінали без нагляду.
Dec 7 10:57:19 tigger sudo: randy: TTY = ttypO TTY = ttypO; PWD = / tigger / users / randy; USER = root; COMMAND = / bin / cat / etc / sudoers
Файл / etc / sudoers існує в єдиному варіанті і використовується на всіх комп'ютерах. Він виглядає приблизно так:
# Визначаємо псевдоніми для комп'ютерного та фізичного факультетів Host_Alias CS = tigger, anchor, piper, raoet, sigi
Host_Alias PHYSICS = eprince, pprince, icarus
# Визначаємо набір команд
Cmnd_Alias DUMP = / usr / sbin / dump, / usr / sbin / restore Cmnd_Alias PRINTING = / usr / sbin / lpc, / usr / sbin / lprm Cmnd_Alias SHELLS - / bin / sh, / bin / tcsh, / bin / csh
mark, ed PHYSICS = ALL
herb CS = / usr / local / bin / tcpdump. PHYSICS = (operator) DUMP
lynda ALL = (ALL) ALL. SHELLS
% Wheel ALL. PHYSICS = NOPASSWD: PRINTING
У кожну специфікацію прав доступу включається наступна інформація:
користувачі, яких стосується ця запис;
комп'ютери, на яких користувачам дозволено виконувати якісь дії;
команди, які можуть виконуватися користувачами;
користувачі, від імені яких можуть виконуватися команди.
Перший рядок специфікацій застосовується до користувачів mark і ed. реєструються в системі на комп'ютерах групи PHYSICS (eprince, pprince і icarus). Вбудований псевдонім ALL дозволяє їм виконувати будь-які команди. Оскільки додатковий список користувачів в дужках не вказано, програма sudo буде виконувати команди тільки від імені користувача root.
Користувач herb може виконувати команду tqdump на машинах групи CS, а також команди оперативного контролю на комп'ютерах групи PHYSICS. Зауважте, однак, що друга група команд в даному випадку буде мати привілею не користувача root. а користувача operator. Реальна команда, яку довелося б ввести користувачеві herb. виглядає приблизно так:
Користувач lynda має право виконувати команди від імені будь-якого користувача на будь-якій машині, але не може запускати деякі поширені командні інтерпретатори. Чи означає це, що вона не може запустити інтерпретатор, будучи суперкористувачем? Звичайно, ні:
Взагалі кажучи спроба вирішити "всі команди, крім." Приречена на провал, принаймні з технічної точки зору. Проте, має сенс створювати файл sudoers в такому вигляді, так як це послужить хоча б нагадуванням про те, що викликати командний інтерпретатор в режимі суперкористувача не рекомендується, і запобіжить випадкові спроби виклику.
В останньому рядку користувачам UNIX-групи wheel дозволяється виконувати команди друку 1РС і lprm від імені суперкористувача на всіх комп'ютерах, за винятком машин групи PHYSICS. Більш того, від них не потрібно вводити пароль.
Зверніть увагу на те, що команди у файлі / etc / sudoers даються з повними колійними іменами, щоб користувачі не могли виконувати свої власні програми та сценарії від імені суперкористувача. Дозволяється також вказувати допустимі аргументи для кожної команди. Взагалі, можливості файлу sudoers дуже великі, а показаний приклад ілюструє лише основні з них.
Використання програми sudo має такі переваги:
завдяки реєстрації команд значно підвищується ступінь контролю над системою;
оператори можуть виконувати рутинні завдання, не маючи необмежених привілеїв;
справжній пароль суперкористувача знають всього один-два людини;
викликати програму sudo швидше, ніж виконувати команду su або входити в систему під ім'ям root;
у користувача можна відібрати привілеї без зміни пароля користувача root;
ведеться список всіх користувачів з правами користувача root;
менше ймовірність того, що інтерпретатор команд, запущений суперкористувачем, призведе до непередбачуваних наслідків;
керувати доступом до всієї мережі можна за допомогою одного файлу.
У програми є і свої недоліки. Найбільший з них полягає в тому, що будь-яка пролом в системі безпеки того чи іншого привілейованого користувача еквівалентна порушення захисту самої облікового запису root. Протистояти цьому нелегко. Можна лише попередити тих, хто має право виконувати програму sudo. про необхідність захищати свої облікові записи так, як якщо б вони були суперкористувачем.
Інший недолік - це можливість обдурити програму sudo за допомогою таких прийомів, як тимчасовий вихід в командний інтерпретатор з дозволеною програми або виконання команд sudocsh або sudosu. якщо вони допустимі.
Випуск дистрибутива Solus 3 і робочого столу Budgie 10.4
Представлений реліз Linux-дистрибутива Solus 3, не заснованого на пакетах інших дистрибутивів і розвиваючого власний робочий стіл Budgie, установник, пакетний менеджер і конфігуратор. Код.
Представлений (n + 1) sec, протокол для створення захищених децентралізованих чатів
Після двох років проектування, розробки і тестування прототипів представлений новий протокол для створення захищених групових чатів - (n + 1) sec. Бібліотека з еталонною реалізацій протоколу.
Доступний ReOpenLDAP 1.1.6, форк проекту OpenLDAP
Вийшла нова версія ReOpenLDAP - Форк проекту OpenLDAP, з усуненням маси помилок і ряду доробок для стабільної роботи реплікації. Проект орієнтований на надійність і продуктивність при.