E-post: salg@linmag.no
10.9.2010 - 11:35
 • Nyheter
 • Om Linux
 • Linuxskolen
 • Spørrespalte
 • Vitsespalte
 • LINUXmagasinet
 • Spill
 
 • WEBSHOP
 • Diskusjonsforum
 • Linker
 
 • For annonsører
 • English
 • Om oss
 
developer.ez.no
www.online4u.no

0

Sikkerhet - konfigurasjonstilgang

Forfatter: Ole Øyvind Hove

Publiseringsdato: 04.01.2005 08:00

Kan dette vere eit hol i sikringa hjå SuSE?

Eg nyttar SuSE 7.3 og SuSE 8.2.
Etter å ha installert isdn og dermed bytta ut modem finn eg at i datafila /var/lib/wvdial/.config (SuSE 8.2) og /var/lib/wvdial/defconfig og .config (SuSE 7.3) er både brukarnavn og passord som eg framleis nyttar under isdn heilt openberra for kven som helst som mår å trengja seg inn medan eg er innlogga på maskinen.!

Det som skjer er dette: under Yast i 7.3 utgåva kan ein velja om ein under isdn vil kunne kopla seg opp frå sitt eige loginn med [/usr/bin/isdnctrl dial ippp0] .Med dette valet kjem ein som medlem i gruppa ’dialout’ som i den nemde datafila defconfig har leserett: rwxr-x---. Nyttar ein altså det same passord på isdn som ein hadde på modem vert dette etter mi meining eit hol, då ein inntrengjar kan lese datafila defconfig. No kan ein i Yast under isdn velje at utringing berre kan skje med gjeldande telefonnummer som vert ført i isdnkonfigurasjonen, men likevel---.
Så lenge ein avstår frå å ha medlemskap i ’dialout’ får ein ikkje lesetilgang. Men det hender at ein må nytte /usr/bin/isdnctrl dersom sambandet vert brote og ein ikkje får opp sambandet på grafisk vinauge, og då er det fint å sleppe å måtte logge inn som root.

I SuSE 8.2 skjer det same, men i denne .config-fila kjem berre eit gamalt passord fram som eg nytta tidlegare med modem. Innhaldet i desse datafilene ser mellom anna slik ut:
……….
WV_USERNAME=brukernamnetmitt
WV_PASSWORD=passordetmitt
WV_PHONE=telenors-modemnr…..5500
…………
Fila vart skriven 18.sept.2003 for SuSE 7.3.
Isdn vart installert okt.2004.

Som ei naudløysing har eg sett datafila defconfig som rwx---x--- . Men det er ikkje slik det skal gjerast. Sjølvsagt kan eg og sletta brukernamn og passord i denne fila, men det er heller ingen god linuxskikk å gjere, då ein etter mi meining grip inn i hytt og ver der operativsystemet skulle ha andre løysingar (som tildømes gjennom /sbin/SuSEconfig). Sjølvsagt kan det vore noko her som ikkje har vore gjort rett frå mi side, men eg har nytta Yast heile vegen både for modem og isdn. /etc/wvdial.config har heile tida stått som rw-------, slik at her er det vanntette saker, som venta.

Har nokon glupe hovud frå linuxmagasinet noko å seie her?
Helsing Sigbjørn S.

Hei Sigbjørn.

Ja, det er ikke god Linuxskikk eller annen skikk heller for den saks skyld, å lagre brukernavn og passord i klartekst i konfigurasjonsfiler og iallefall ikke i filer der flere har tilgang. Men nå er det jo slik at det bare er root og medlemmer av dialout gruppa som har tilgang her. Og det må dem nødvendigvis ha, dersom de skal klare å ringe ut. Og skal man kunne ringe ut, så bør man også kunne endre brukernavn og passord. Et annet alternativ er å sette opp en dial-on-demand tjeneste med for eksempel wvdial.
Da starter du tjenesten med en bruker som er medlem av gruppen dialout og forbindelsen opprettes når noen prøver å nå maskiner på det eksterne nettet. Et tredje alternativ er å benytte sudo. Med sudo kan du spesifisere en eller flere brukere eller grupper skal ha tilgang til å kjøre en eller flere kommandoer. En kan for eksempel opprette en ny gruppe og gi alle dem mulighet til å kjøre 'sudo /usr/bin/isdnctrl dial ippp0' uten at dem får direkte lesetilgang til konfigurasjonsfilene av den grunn. Slik kan du veldig effektivt begrense tilgang til konfigurasjonsfilene dine, og da har man jo også ivaretatt sikkerheten på en mye bedre måte.



Ole Øyvind


Kommentarliste

Det finnes ingen kommentarer

0








0 0