Antwoord: Sommige mensen denken dat het beter is om de mogelijkheid
tot het laden van stuurprogramma's voor apparaten middels modules
uit te schakelen, omdat een indringer een Trojan module of een module die
invloed kan hebben op de beveiliging van het systeem kan laden.
Maar om modules te kunnen laden moet je root zijn. De module object
bestanden zijn ook alleen beschrijfbaar door root. Dit betekent dat een
indringer roottoegang nodig heeft om een module te plaatsen. Als de indringer
roottoegang verkrijgt, zijn er meer serieuze zaken om je zorgen over te maken
dan of hij al of niet een module kan laden.
Modules zijn bedoeld voor het dynamisch laden van ondersteuning voor een
bepaald apparaat dat zelden gebruikt wordt. Op server machines of firewalls
bijvoorbeeld, is het erg onwaarschijnlijk dat dit gebeurt. Om deze reden heeft
het meer zin om ondersteuning voor machines die opereren als een server direct
in de kernel te compileren.
Antwoord: Zie
Root beveiliging.
Dit is bewust gedaan om te voorkomen dat gebruikers via telnet
een
verbinding als root tot stand proberen te brengen, hetgeen een ernstige
beveiligingskwetsbaarheid is, omdat dan het root wachtwoord, in
leesbare tekst, verzonden zou worden over het netwerk. Vergeet niet: mogelijke
indringers hebben de tijd en kunnen programma's uitvoeren die automatisch
naar je wachtwoord zoeken.
Antwoord: Om "shadow passwords" uit te schakelen, voer je pwconv
uit als root. Nu zou /etc/shadow
moeten bestaan en worden
gebruikt door applicaties. Als je Red Hat 4.2 of hoger gebruikt, zullen de PAM
modules zich automatisch aanpassen aan de verandering van het gebruik van
het normale /etc/passwd
naar "shadow passwords" zonder enige
andere wijziging.
Een stukje achtergrondinformatie: "shadow passwords" is een techniek om je
wachtwoord in een bestand, anders dan het normale /etc/passwd
bestand, op te slaan. Dit heeft verscheidene voordelen. Het eerste is
dat het schaduw bestand, /etc/shadow
, alleen leesbaar is voor root, in
tegenstelling tot /etc/passwd
, wat leesbaar moet blijven voor
iedereen. Het andere voordeel is dat je als beheerder accounts kan vrijgeven
af afsluiten, zonder dat iedereen de status van andere gebruikersaccounts
weet.
Het /etc/passwd
bestand wordt dan gebruikt om gebruiker- en
groepsnamen in op te slaan, die worden gebruikt door programma's als
/bin/ls
om het gebruikers ID naar de juiste gebruikersnaam om te
zetten in een directoryweergave.
Het /etc/shadow
bestand bevat dan alleen de gebruikersnaam en
zijn/haar wachtwoord en misschien informatie over het account, zoals wanneer
het account vervalt e.d.
Om "shadow passwords" in te schakelen, voer je pwconv
uit als
root. Nu zou /etc/shadow
moeten bestaan en worden gebruikt door
applicaties. Omdat je Red Hat 4.2 of hoger gebruikt, zullen de PAM modules
zich automatisch aanpassen aan de verandering van het gebruik van het normale
/etc/passwd
naar "shadow passwords" zonder enige andere wijziging.
Omdat je geïnteresseerd bent in het beveiligen van je
wachtwoorden, zul je wellicht ook geïnteresseerd zijn in de
totstandkoming van goede wachtwoorden op zich. Hiervoor kun je de
pam_cracklib
module gebruiken, die onderdeel uitmaakt van PAM. Het
kijkt of je wachtwoord voortkomt in de "Crack libraries", om je te helpen met
de beslissing of het te gemakkelijk te raden is door programma's die
wachtwoorden kunnen kraken.
Antwoord:
Antwoord: De Red Hat distributie, speciaal Red Hat 5.0, bevat een
groot aantal tools om de eigenschappen van gebruikersaccounts te
veranderen.
pwconv
en unpwconv
programma's kunnen gebruikt
worden om te wisselen tussen "shadow" en "non-shadowed" wachtwoorden.pwck
en grpck
programma's kunnen gebruikt worden
om te verifiëren of de passwd
en group
bestanden
juist ingedeeld zijn. useradd
, usermod
en userdel
programma's
kunnen gebruikt worden om gebruikersaccounts toe te voegen, te verwijderen en
aan te passen. De groupadd
, groupmod
en groupdel
programma's doen hetzelfde voor groepen.gpasswd
aangemaakt worden. /etc/shadow
zullen gebruiken voor
wachtwoordinformatie, anders doen ze dat niet.
Zie de respectieve man pagina's voor aanvullende informatie.
Ik wed dat je niet wist van het bestaan van
http://www.apacheweek.org of wel?
Je kunt informatie over het authenticeren van gebruikers vinden op
http://www.apacheweek.com/features/userauth evenals andere web
server beveiligingstips van
http://www.apache.org/docs/misc/security_tips.html