abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 19:55 | IT novinky

    Americký výrobce čipů Intel propustí 15 procent zaměstnanců (en), do konce roku by jich v podniku mělo pracovat zhruba 75.000. Firma se potýká s výrobními problémy a opouští také miliardový plán na výstavbu továrny v Německu a Polsku.

    Ladislav Hagara | Komentářů: 10
    včera 17:33 | Komunita

    MDN (Wikipedie), dnes MDN Web Docs, původně Mozilla Developer Network, slaví 20 let. V říjnu 2004 byl ukončen provoz serveru Netscape DevEdge, který byl hlavním zdrojem dokumentace k webovým prohlížečům Netscape a k webovým technologiím obecně. Mozille se po jednáních s AOL povedlo dokumenty z Netscape DevEdge zachránit a 23. července 2005 byl spuštěn MDC (Mozilla Developer Center). Ten byl v roce 2010 přejmenován na MDN.

    Ladislav Hagara | Komentářů: 0
    včera 14:55 | Nová verze

    Wayback byl vydán ve verzi 0.1. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    včera 13:33 | Nová verze

    Byla vydána nová verze 6.18 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově se lze k síti Tor připojit pomocí mostu WebTunnel. Tor Browser byl povýšen na verzi 14.5.5. Thunderbird na verzi 128.12.0. Další změny v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    24.7. 14:33 | IT novinky

    Meta představila prototyp náramku, který snímá elektrickou aktivity svalů (povrchová elektromyografie, EMG) a umožňuje jemnými gesty ruky a prstů ovládat počítač nebo různá zařízení. Získané datové sady emg2qwerty a emg2pose jsou open source.

    Ladislav Hagara | Komentářů: 0
    24.7. 14:22 | Nová verze

    Byla vydána (𝕏) nová verze 25.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 25.7 je Visionary Viper. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    24.7. 13:33 | IT novinky

    Před 40 lety, 23. července 1985, společnost Commodore představila první počítač Amiga. Jednalo se o počítač "Amiga od Commodore", jenž byl později pojmenován Amiga 1000. Mělo se jednat o přímou konkurenci počítače Apple Macintosh uvedeného na trh v lednu 1984.

    Ladislav Hagara | Komentářů: 2
    24.7. 06:00 | IT novinky

    T‑Mobile USA ve spolupráci se Starlinkem spustil službu T-Satellite. Uživatelé služby mohou v odlehlých oblastech bez mobilního signálu aktuálně využívat satelitní síť s více než 650 satelity pro posílání a příjem zpráv, sdílení polohy, posílání zpráv na 911 a příjem upozornění, posílání obrázků a krátkých hlasových zpráv pomocí aplikace Zprávy Google. V plánu jsou také satelitní data.

    Ladislav Hagara | Komentářů: 9
    23.7. 21:55 | Komunita

    Společnost Proxmox Server Solutions stojící za virtualizační platformou Proxmox Virtual Environment věnovala 10 000 eur nadaci The Perl and Raku Foundation (TPRF).

    Ladislav Hagara | Komentářů: 2
    23.7. 21:22 | Bezpečnostní upozornění

    Byla vydána nová verze 2.4.65 svobodného multiplatformního webového serveru Apache (httpd). Řešena je bezpečnostní chyba CVE-2025-54090.

    Ladislav Hagara | Komentářů: 0
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (29%)
     (26%)
     (5%)
     (5%)
     (5%)
     (2%)
     (2%)
     (27%)
    Celkem 132 hlasů
     Komentářů: 16, poslední včera 15:31
    Rozcestník

    Když to nejde, tak to nedělejte

    15.9.2009 08:55 | Přečteno: 1593× | GNU

    Škoda že nejsem ten typ člověka, co si všechno ukládá do bookmarků, aby mohl každý argument podpořit hromadou URL. O co jde: zdá se mi že hustota výskytu lokálních root exploitů v unix-like systémech je hodně vysoká (windows nestojí za zmínku, to je samozřejmě bezpředmětné). Kdybych byl útočník a potřeboval rootshell někde kde mám účet, stačilo by zřejmě jenom počkat pár měsíců než se objeví nějaká nezalepená díra. Tak mě napadá: má to vůbec smysl, hrát si na roota, capabilities, security enhancements, a podobné věci, když to stejně k ničemu není? Oč by byla správa a konfigurace PC jednodušší, kdybych měl jen jeden účet? Oč by bylo jednodušší jádro, kdyby každý syscall nemusel několikrát kontrolovat zda je daná věc povolená? Jednodušší navíc vždy znamená rychlejší a lépe odladěné. Třeba by pak zbylo i více času na hledání a opravu remote exploitů, což je podle mě mnohem důležitější.

    A co argumenty typu "přece nepolezu na pr0n a warez stránky pod rootem"? No řekl bych že virtualizace je v tomto případě lepší volbou. Fakticky jsou tam sice stejné problémy jako u oddělení bezpečnostních domén v jádru, ale tak nějak cítím že díky tomu, že virtuální stroj to řeší na mnohem nižší úrovni, bude to jednodušší a robustnější.

    Možná je to úplnej blábol, píšu to pod dojmem dalšího bugu ve FreeBSD, a protože mě zajíá jak se na to dívají ostatní.        

    Hodnocení: 14 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    15.9.2009 09:02 huhu
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

    Takže sekretářku bys nechal používat root účet? :-D

    15.9.2009 09:07 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Sekretářky na WXP fungují pod účtem "administrator" docela běžně.
    Táto, ty de byl? V práci, já debil.
    Salamek avatar 15.9.2009 09:20 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    ano a také jak to dopadá
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    alblaho avatar 15.9.2009 09:12 alblaho | skóre: 17 | blog: alblog
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Spuštění škodlivého kódu pod normálním účtem je velmi nepříjemné, protože člověk může přijít o jakákoliv data, která mu patří. To, že systém takový zásah přežije mi pak bude prd platné.

    Na druhou stranu, když sekretářka ukládá dokumentu někam na síť (ze které se dělají zálohy), tak je určitě vhodné, aby její systém spuštění škodlivého kódu přežil a odnesl to jenom její účet.

    Další věc jsou lidské omyly. Teoreticky bych mohl všechno dělat pod rootem a asi by se nic nestalo, na druhou stranu, když dělám experimenty, tak jsem občas rád, že jejich dopady jsou omezeny na můj účet.
    Max avatar 15.9.2009 09:16 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Osobně bych nebyl tak pesimistický. Když se podíváme na linuxový kernel, tak v nových jádrech se občas exploit objeví, ale když už, tak většinou lokální. Navíc, třeba debian, ten byl dost často proti takovým exploitům imunní, jelikož používá opravdu postarší verze jader a na ty se to už většinou nevztahovalo.
    Pokud by jsi chtěl číhat na nějaký remote exploity, tak by jsi se nemusel moc dočkat a pokud by jsi se dočkal, tak by jsi si musel rychle chvátnout, aby jsi si napsal nějakýho červíka, který by to využíval.
    Co si tak vzpomínám na díru ve vmsplice (lokální exploit), tak na tu vyšel patch / dočasné řešení do několika hodin.
    Další věcí je, kolik serverů v dnešní době existuje s lokálními účty. Kolik z nich je potom nemá ošetřeno (chroot, absence make apod. věcí)? Takový počet serverů se už docela zužuje.
    Zdar Max
    Měl jsem sen ... :(
    15.9.2009 10:01 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Tu argumentaci chápu, ale mám problém se s ní ztotožnit. Představ si že v údolí staví přehradu. Když se provalí přehrada plná vody, je to katastrofa. Tak proč ti hloupí inženýři nepostaví hráze dvě, nebo ještě lépe tři nebo čtyři za sebou? Když povolí první, zachytí vodu ta druhá, a tak dále. Ale oni ne, oni postaví hráz jen jednu! Óooo ta naivita, proč se nejdřív neporadili s někým opravdu moudrým, třeba s nějakými experty na počítačovou bezpečnost! :-)
    Táto, ty de byl? V práci, já debil.
    15.9.2009 10:04 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    sorry to měla být reakce na příspěvek o jednu pozici níže.
    Táto, ty de byl? V práci, já debil.
    belisarivs avatar 15.9.2009 10:37 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

    Ze by proto, ze 4 hrae jsou 4x drazsi nez 1 a je taky potreba nejake misto kde by byly a tak dale. Coz typicky u Linuxu neni problem.

    Nehlede na fakt, ze pokud by se provalila jedna prehrada, nasladoval by dominovy efekt a sly by i dalsi. To u Linuxu taky nehrozi. Spis bych to prirovnal k vice radam hradeb. A to smysl ma.

    IRC is just multiplayer notepad.
    15.9.2009 12:50 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Ha ha ha. Násobné hrazení mělo možná pro obránce psychologický význam, ale myslím že z vojenského hlediska bylo zcela k ničemu. Víš snad o nějakém hradu, kde útočící armáda úspěšně zdolala vnější hradby, pronikla na nádvoří, ale ejhle, hradní pán utekl na druhé nádvoří nebo do věže, a tam se statečně ubránil?
    Táto, ty de byl? V práci, já debil.
    vencour avatar 15.9.2009 13:04 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

    Třeba na Karlštejně byly korunovační klenoty až v té největší věži, kterou nikdo nikdy nedobyl (pamatuju dobře, že tloušťka zdi je až 4 metry kamene?). Taky více stupňů překážek, opevnění.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    15.9.2009 13:15 podlesh | skóre: 38 | Freiburg im Breisgau
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    No jo, proč se neporadili s někým moudrým, třeba... jo aha, ty ses ještě nenarodil! Jaká to škoda...

    Možná by dokonce vůbec hrady nestavěli - koneckonců, každou chvíli je nějaký dobyt, tak jaký to má smysl, že?
    15.9.2009 14:26 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    To kdyby dali na tebe, tak bude kamenná hradba vhodně backupovat silové pole Disruptoru, že .-)
    Táto, ty de byl? V práci, já debil.
    belisarivs avatar 15.9.2009 17:06 belisarivs | skóre: 22 | blog: Psychobláboly
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

    Snad nechces rici, ze hrad s nekolika sledy opevneni je zbytecny? A to jako chces argumentovat tim, ze nevis o zadnem, ktery by nebyl dobyt jenom kvuli vice sledum opevneni? A Konstantinopol, ktera odolala diky nekolikanasobnemu masivnimu opevneni nejednomu oblehani ti nic nerika?

    Takze by bylo podle tebe lepsi, stavet jenom jednoduche opevneni, pripadne opevneni zadne? Nebo jak si ten nesmysl mam vysvetlit?

    Kdyz ma nepritel maly (nebo zadny) hrad, tak ti staci k obsazeni urciteho uzemi jenom hrstka vojaku. Pokud pred tebou stoji bytelna tvrz, budto te rovnou od agrese odradi, nebo te jeji dobyvani stoji spoustu casu a zdroju a branici se oponent muze zatim shromazdit vojsko. Nebo by sis nechal nekryta zada obejitim tvrze a riskoval vypady do tyla? Ty bys teda byl valecnik k pohledani.

    To bys jako nakreslil na zemi kolo, uprosted zapichnul vlajku a prohlasil, ze je to levnejsi a nepritel by to dobyl tak jako tak?

     

    IRC is just multiplayer notepad.
    15.9.2009 11:04 Senior Database Programmer
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

    Keď sa prevalí jedna hrádza tak tá za ňou zachytí leda tak h...o.

    vencour avatar 15.9.2009 11:21 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

    Věcí návrhu je kalkulovat rizika, předimenzovat bytelnost. Stejně to platí u mostů, výtahů i přehrad. Protože to nejde jinak rozumně. A sídla se obvykle nestaví v okolí přehrad, záplavových oblastí. Tedy trvalého osídlení.

    I proto, že je odolnost v tlaku, nárazu apod., použité řešení odpovídá očekávanému použití.

    Viz níže, je root a je ještě něco, selinux, apparmor apod, taky více úrovní.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    xkucf03 avatar 15.9.2009 14:55 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše lokální účty

     

    kolik serverů v dnešní době existuje s lokálními účty ... Takový počet serverů se už docela zužuje.

    Což je IMHO  škoda, protože robustní OS si představuji mj. tak, že na něm může mít účet X užvatelů a vzájemně se nebudou poškozovat. Degradovat lokální účty na záležitost pro správce (pod jedním uživatelem se přihlásí, pak se su přepne na roota a jinak na tom stroji normálně nikdo nepracuje) mi přijde škoda, jako nevyužívání možností toho systému. Ty exploity nejsou moc časté* a opravy přicházejí velmi rychle -- není to prostě věc, který by mě moc znepokojovala.

     

    *) možná to zní divně, ale nějaké chyby a exploity budou vždycky, zbavit se chyb úplně nejde -- a Linux je na tom IMHO dobře.

     

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    vencour avatar 15.9.2009 09:27 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

    Vidim smysluplné snažit se minimalizovat rizika a pravděpodobnost nechtěného jevu. Z toho pohledu má funkčnost více "přístupových vrstev" smysl a opodstatnění.

    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    15.9.2009 09:35 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Pokud si každý uživatel bude hrát na svým písečku (tj. vlastní PC bez konektivity ke zbytku světa/firmy), pak to do jisté míry zbytečné je. Pokud už ale má tupá recepční koukat na sdílená data s nějakými definovanými oprávněními, pak musí nutně mít nějaký účet, pro který se tato oprávnění dají nastavit.
    15.9.2009 09:54 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    koukat na sdílená data s nějakými definovanými oprávněními, pak musí nutně mít nějaký účet, pro který se tato oprávnění dají nastavit.
    Účet na aplikačním serveru nevyžaduje existenci uživatelského účtu v OS, a to ani na klientovi, ani na serveru. Ostatně mysql, postgress, oracle, samba, apache.. všechno to má obvykle vlastní databázi uživatelů a systém práv zcela nezávislý na operačním systému, takže účty v OS jsou redundantní věc a bylo by vhodné je zrušit.
    Táto, ty de byl? V práci, já debil.
    15.9.2009 10:08 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Jasně, ale všichni se přese snažíme to těm lidem ulehčit, takže cpeme SSO kde to jde, že.
    15.9.2009 10:21 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Akorát že SSO je záležitost systémové interoperability, nikoliv jádra OS.
    Táto, ty de byl? V práci, já debil.
    15.9.2009 11:46 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    No a co? Ve většine případů je totiž SSO postaveno na přihlašování systémovými účty.
    15.9.2009 12:37 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    No já teda fakt hodně pochybuju že když založím účet na gmailu, facebukvici nebo twatteru, tak se někde exec()ne useradd, a taky si nemyslím že moje požadavky na serveru běží pod UIDem který nikdo jiný nemá.
    Táto, ty de byl? V práci, já debil.
    15.9.2009 14:27 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Copak se tady někdo baví o Gmailu apod.? Přečti si znovu, co jsem napsal předtím. Bavím se o aplikacích, které umožnují SSO, což ani jedna z nich není. V takových je samozřejmě třeba konfigurace, říkající odkud se účty berou.
    15.9.2009 14:37 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Aha, tak to jsem nějak špatně pochopil. Jsem myslel že SSO je nějakej systém jak se přihlásím do jedné aplikace, a tohle přihlášení pak funguje i v dalších aplikacích, něco jako když gmailový účet funguje i v Picasse, že se tam ty credentials nějak propašují přes cookies nebo tak něco.. takže tohle SSO není?
    Táto, ty de byl? V práci, já debil.
    15.9.2009 14:50 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Viz zde. Už v úvodu je napsáno, že aplikace kterých se to týká, musí být independent. Dle mého názoru to Gmail a Picassa nesplňují. Co je ale důležitější je to, co je napsané níže, konkrétně rozdíl oproti Shared Authentication Schemes, jde o to, že se musíš přihlásit přesně jednou. Pokud se do systému přihlašuješ jinak, než do Gmailu, pak _nejde_ o SSO.
    15.9.2009 15:16 zde | skóre: 9 | blog: Linuch | Brno
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Hmm, to mi přijde jako hraní se slovíčky, jak z nějakého poblblého školení... Aby nějaká featura fungovala, musejí zúčastněné strany implementovat nějaké společné API, ergo pak nemůžou být independent.
    Táto, ty de byl? V práci, já debil.
    15.9.2009 15:41 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Že to tak přijde tobě, to ještě nic neznamená :-) To independent znamená, že jedna aplikace neví o druhé, resp. že je jí jedno, jaká jiná aplikace využívá SSO. Viz např. SSO ve Windows. Pokud nějakou webovou stránku prohlásím za Intranet, můžu v Exploreru nastavit, že se má pomocí Windows loginu snažit automaticky (tudíž SSO) přihlásit do Intranetových stránek. Těm je pak jedno, odkud se příchozí jméno a heslo bere. Oni ho pouze nějak ověří a pokud projde, pustí tě dovnitř. Stejně tak Windows je jedno, o jaké kontrétní stránky se jedná. Pro souhru je důležité pouze to, aby se obě hesla ověřovala stejným způsobem (to je to tvoje společné API -- nicméně to může být libovolné, a může jich být více, záleží na aplikaci) a _pouze_ jednou při přihlášení.
    xkucf03 avatar 15.9.2009 16:48 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše bez hesla

     

    Oni ho pouze nějak ověří a pokud projde, pustí tě dovnitř.

    Což je pěkně hloupý systém – přes aplikaci zbytečně chodí hesla a přitom je vůbec nepotřebuje – aplikaci stačí, když ví, že uživatel je oprávněný (k tomu nepotřebuje znát jeho heslo.)

     

     

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    15.9.2009 17:41 sigma
    Rozbalit Rozbalit vše Re: bez hesla

     Tak to není, aplikace se samozřejmě k plaintext heslu nedostane, to by bylo skutečně hloupé.

    V praxi se reálně používá Kerberos nebo NTLM (oba protokoly umí jak Firefox, tak IE, možná další). Ověřování probíhá prostřednictvím autentizačního serveru - třetí strany. Podrobně si chování těchto protokolů můžete nastudovat, specifikace je volně dostupná. Zásadně ale platí, že 1 aplikace ověřující klienta přes Kerberos (nebo i NTLM) žádným způsobem nepracuje s daty, které by bylo možné zneužít pro přístup do jiných aplikací nebo dokonce k získání původního plaintext hesla (ono ani žádné nemusí existovat, Kerberos ticket můžu získat třeba na základě smart card)... Takže i totálně nedůvěryhodná aplikace může využívat ověřeování přes váš systémový účet.

    Jinak ten Kerberos s Firefoxem funguje i na Linuxu...

    15.9.2009 18:40 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: bez hesla
    Já jsem někde mluvil o hesle? Heslo je nejběžnější způsob přihlášení do systému, že by pak ale heslo cestovalo k jiné aplikaci jsem nikde neřekl. Pouze jsem řekl, že ho _nějak_ ověří, konkrétně jsem měl na mysli to, co je v příspěvku níže, tedy Kerberos.
    xkucf03 avatar 15.9.2009 18:44 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: bez hesla

    „Těm je pak jedno, odkud se příchozí jméno a heslo bere.“

    Kerberos (nebo NTLM) betu, ale když jsi psal o jméně a hesle, znělo to tak, že aplikace se k němu dostane.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    15.9.2009 19:35 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: bez hesla
    Aha, tak to jsem zase zapomněl já, že jsem se někde zmínil o heslu :-) No v každém případě si už rozumíme.
    xkucf03 avatar 15.9.2009 23:20 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Uživatelé v OS.

    Jasně že jsou uživatelé všude možně, na rýzných úrovních

    • operační systém
    • aplikace (postgresql, samba, apache…)
    • databáze (tabulka uvnitř databáze obsahující seznam uživatelů a jejich hesel nebo LDAP…)

    Ale fakt, že jsou uživatelé i jinde, neznamená, že zrušíme uživatele na úrovni OS. Např. na serveru dáš webařovi práva upravovat soubory ve /var/www, ale nedáš mu práva roota.

     

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    unknown_ avatar 15.9.2009 10:44 unknown_ | skóre: 30 | blog: blog
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    S tema lokalnima exploitama to taky neni az tak slavny jak to vykreslujes. A zase se ve FreeBSD po par letech objevila vulnerabilita hm :-D
    xsubway avatar 15.9.2009 11:03 xsubway | skóre: 13 | blog: litera_scripta_manet
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

     

    No řekl bych že virtualizace je v tomto případě lepší volbou.

    Třeba co uživatel to jeden virtuální stroj s Haiku-os, nebo Linuxem, ...? Pěkná představa.

     

    15.9.2009 11:05 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Díváte se na to optikou výhradního desktopového uživatele. V okamžiku, kdy potřebujete jeden stroj sdílet s více lidmi, tak se váš jednouživatelský systém kácí k zemi jako jednouživatelská Windows z 90. let.
    15.9.2009 11:09 Mrkva | skóre: 22 | blog: urandom
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    No nevím, ono těch root exploitů zase tolik není. A když se jádro doplní něčím jako GRSecurity/PaX, tak si většina exploitů ani neškrtne - ono zkuste si spustit exploit, když nemůžete spouštět programy mimo souborů vlastněných rootem, ke kterým nemá nikdo krom roota právo zápisu :)
    Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
    otasomil avatar 15.9.2009 11:13 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte

    Muj server (viz paticka) bezi pod rootem (jiny ucet tam stejne neni) a stale odolava utokum zvedavcu.

    Bezet implicitne pod rootem neznamena pro znaleho cloveka zadny problem. Je jedno jestli dotycny leze na warez ci porno - nic se v zadnem pripade nemuze stat

    U windows je ucet admina bohuzel defaultni u vetsiny uzivatelu i mnoha firem. Stacilo v instalaci nabidnout moznost uzivatelskeho uctu s omezenym opravnenim a hned by bylo mene problemu. M$ to vyresil po svem pomoci UAC a podobnych zohavenosti. Veskere zabezpeceni win tedy je v omezeni opravneni admin uctu. A kdyz chce uzivatel byt jo superadmin tak pravoklik - "spustit jako spravce"

    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    15.9.2009 18:22 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Když to nejde, tak to nedělejte
    Asi jste nikdy nespravoval počítač, kde měl účet ještě někdo jiný, než vy sám. Jinak byste to prohlásil přesně opačně: oč jednodušší je spravovat počítač, když každému můžete přidělit jen práva, která potřebuje, než spravovat počítač, kdy si každý může dělat, co chce. A i u toho počítače, který nepoužívá nikdo jiný, je vhodné oddělit užívání PC od jeho správy. Myslím, že když jde třeba herec do divadla na představení jako divák, setrvá v téhle roli až do konce a nevstupuje do představení každou chvíli, když se mu zdá, že by to chtělo vylepšit.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.