Názory k článku
Linus: chtít rootovské heslo kvůli běžným věcem je „debilní“
-
Lael Ophir (neregistrovaný)
Stačí se kouknout na konkurenci. Ve Windows NT už nejspíš od první verze existují User Rights, například "Change the system time". Ke každému takovému nastavení lze přiřadit uživatele a skupiny. Podobný mechanismus v jisté formě existuje už nějakou dobu i na UNIXech, i když tradiční řešení je "to smí udělat jen root, takže napíšeme utilitu a nastavíme jí setuid" :)
Ve Windows to ale jde o trochu dál. Minimálně od NT4 existují bezpečnostní templaty. Ty drží pohromadě všechna tahle nastavení, plus nastavení permissions na FS (třeba kdo smí zapisovat do kořenového adresáře, do Program Files, adresáře Windows apod), a další bezpečnostní nastavení (například jestli vynulovat swap file při vypínání systému). A když máte počítače v doméně, můžete pár kliky vynutit tuhle policy pro jakoukoliv skupinu strojů. A samozřejmě si můžete definovat vlastní policy, a také nastavovat další restrictions (třeba zakazovat některé programy, nastavovat restrikce UI apod).
Od Windows se zjevně lze učit i v oblasti bezpečnosti. -
Kaacz (neregistrovaný)
Jezisi nelzete ve smyslu, ze defakto to same na unixech nejde.
Kdyz Unix mel resenu bezpecnost FS, tak windows jeste neexistovaly.
Jo, ty desktop uvolnovani pro usera pridaval pozdeji, protoze je na desktopu kratsi dobu.
ACL je k dispozici skoro ve vsech normalnich distrech. Standardne je to trochu vic utazene a kdo to chce rozvolnit, staci jen ACL POUZIT. Mam dokonce pocit ze datove disky mam rovnou impicitne s ACL primountovane pod oSuSE.. uz leta.. Tolik k FS pravum.
Ostatni veci davam uzivatelum krasne pres Global system policy settings, je to easy na par kliknuti. Setuid je uz dost zastaraly pohled.. nekoho neinformovaneho. -
Lol Phirae (neregistrovaný)
OMG. Znova se ptám, jestli nějaké distro defaultně používá ACLs (slovem používá přitom nemyslím, že je nějaký oddíl připojen s podporou ACL), ale skutečně to, zda se to aktivně používá v defaultní instalaci k nastavení zabezpečení něčeho. To samé se tyká capabilities. Např. v Gentoo se o tom mluví už asi tak pět let. že by se místo setuid měly používat, fakticky je pokrok jedna velká nula a nemyslím, že by se to v dohledné době změnilo.
-
Radovan (neregistrovaný)
Na domácím počítači nevidím v nastavování času problém, tak jednou za dva měsíce holt musím to heslo naťukat, když se mi stroj o minutu opozdí...
Ale ve firmě (kde se stejně čas synchronizuje s nějakým serverem) si dovedu velmi snadno představit jak se přes změnu data krásně falšují záznamy nebo třeba faktury, to se opravdu od Windows v oblasti bezpečnosti máme co učit :-D -
Lael Ophir (neregistrovaný)
Ve Windows na domácím poči i na serveru ve výchozím stavu mohou změnu času provést Administrators a LocalService. Pokud není stroj v doméně, čas se synchronizuje s time.windows.com. Když je v doméně, synchronizuje se s doménou. Změnu časové *zóny* mohou provést na stanici Administrators, User a LocalService. Na serveru pak Administrators, Server Operators a LocalService. Jízlivou poznámku nakonec si můžete snadno domyslet ;)
-
Lael Ophir (neregistrovaný)
Ve Windows XP (a 2003) nebyl problém si nastavit možnost změny systémového data/času pro jakéhokoliv uživatele. Ale byla tam fakt hustá vychytávka. Když jste otevřel kalendář a změnil v něm měsíc ("bude příští měsíc třináctého v pátek?"), tak se jen tím výběrem změnil systémový čas. MS za to jistě sklidil dlouhou řadu děkovných dopisů :)
-
Ivan (neregistrovaný)
To ze to ma MS dobre vymysleny, tak tomu verim. Bohuzel se tim ale neinspiruji ani jeho vlastni vyvojari. Chtel jsem poukazat na to, ze se spojuje pravo "videt" a pravem "menit".
Kdyz kliknu v XP na hodiny, abych si zobrazil kalendar, abych se kouknul kolikatyho dneska vlastne je, tak nemuzu - nemam prava. Kdyz resim problem se siti, tak mam taky smulu, nemam pravo videt routovaci tabulku na vlastnim PC.
-
Pokud není nastavená synchronizace s NTP, tak často je jednou za čas potřeba to manuálně korigovat. Proč by k tomu mělo být třeba zadávat root heslo?
Root heslo k wifi je absolutně hovadina, kolikrát se s ntb připojuji někde, kde jsem ještě nebyl (kavárna, ...) a musím tím pádem na veřejnosti zadávat svoje root heslo. Automatické připojení k již známé síti je sice fajn, ale někdy jsem ji tam přidat musel.Podle mě by běžný uživatel měl zadávat root/sudo heslo jen při instalaci SW (protože se systémovými soubory manipulovat asi nebude, stejně jako nastavovat grub, pravidla fstab...). Tedy, restriktivnější politika k dispozici být může, ale pro nasazení ve většině případů osobních PC to je jen zbytečná buzerace.
-
Karel (neregistrovaný)
Hlavně se dá změnou systémového času poměrně dost věcí pokazit. Osobně u změny času to heslo také preferuji. Proč ho chce pro wifi je mi také trochu jasné. Ale že ho chce i pro tisk na tiskárnu je docela zarážející. I když se na to podívám z pohledu útočníka, který se vám vlámal pod uživatelem "patočka" do počítače, nenapadá mě jak bych mohl možnost tisku využít k dalšímu průniku. Leda snad vyplácat vám všechen papír v tiskárně a půlku toneru :-)
-
Kaacz (neregistrovaný)
Mam linux-only desktop + notebook asi 7 roku. Uz si nepamatuju, kdy to doladili, ale uz dlouho je to takto:
- Defaultne user nemuze menit cas, ale staci mu to v Global Policy povolit a uz to jde ..
- Wifi po mne nikdy zadne heslo roota nechce, jen si kliknu kterou chci (KDE4+NM).
- Tiskarny jsou trochu problem. Dochazi pri nich k instalaci driveru ci prinejmensi PPD popisu, dale se zrizuji tiskove fronty v OS. Na windows si user taky tiskarnu neprida. Ze zcela stejnych logickych duvodu. -
Queeg 500 (neregistrovaný)
S tímto mám dlouhodobě celkem problémy,vím, že existují věci jako ssh-askpass, secure keyboard / keyboard grab, obzvlášť u grafických aplikacích se ale často stává, že externí askpass použít neumí a na grab kašlou (nebo ještě jinak, zavolá to askpass a když ten skončí neúspěchem (např. timeout, když u kompu nikdo není), tak to nahodí vlastní podobné okýnko bez grabu - takto se chová např. psi).
Secure keyboard mě pak taky pěkně štve, zapínání s pomocí myši v xtermu je tak zdlouhavé, až jej člověk často vynechává, a Alt+S v současných verzích rxvt taky nějak nefunguje.
Netušíte, zda v minulosti proběhla nějaká iniciativa za opatchování xtermu a readline tak, aby šlo secure keyboard zapínat přes ANSI sekvence, nejlépe automaticky při zadávání hesla? Do toho bych i přes některé nevýhody asi šel..
-
Lol Phirae (neregistrovaný)
Nastaveno by default je něco, co výrobce distribuce považuje za rozumné defaultní hodnoty, a to v jakýchsi polkit sračkách, dokumentace stojí za vyližprdel, stejně jako celá implementace policykit/consolekit/packagekit a spol. Celé je to neuvěřitelně zabugované, např. včera mi vypadly pojistky, načež se ten NetworkManager křáp začal z nepochopitelných důvodů ptát na root heslo, patrně v touze nastavit nějakou APIPA adresu na wlan. :-(
-
Kaacz (neregistrovaný)
Mno, je to uz davno, kdy jsem mival Windows, ale tam to casto dopadlo podobne. Proste, kdyz neco nakopne ty definice, je to v loji. Alespon, ze jsem mel XP prof, ty umely refresh instalaci a ta to opravila. A delal jsem to nejmin 2x do roka .. a priste uz radsi komplet reinstall. Ale na to jsem nemel nervy a zahodil to. Od te doby mam klid.
-
Lol Phirae (neregistrovaný)
1/ Změna timezone pro daného uživatele NIC nerozesere. Můžete si to sám vyzkoušet:
$ date; TZ=/usr/share/zoneinfo/UTC date St úno 29 20:54:03 CET 2012 St úno 29 19:54:03 UTC 2012
2/ Pokud nějaká distribuce nemá aspoň ntpdate v defaultních initskriptech, tak prosím vás reportujte bug.
ČLÁNKY DO MAILU