Verder Terug Inhoud

13. Veel gestelde vragen

  1. Is het veiliger om ondersteuning van stuurprogramma's direct in de kernel te compileren, in plaats van het een module te maken?
    
    
    Antwoord: Sommige mensen denken dat het beter is om de mogelijkheid tot het laden van stuurprogramma's voor apparaten middels modules uit te schakelen, omdat een indringer een Trojan module of een module die invloed kan hebben op de beveiliging van het systeem kan laden.
    
    
    Maar om modules te kunnen laden moet je root zijn. De module object bestanden zijn ook alleen beschrijfbaar door root. Dit betekent dat een indringer roottoegang nodig heeft om een module te plaatsen. Als de indringer roottoegang verkrijgt, zijn er meer serieuze zaken om je zorgen over te maken dan of hij al of niet een module kan laden.
    
    
    Modules zijn bedoeld voor het dynamisch laden van ondersteuning voor een bepaald apparaat dat zelden gebruikt wordt. Op server machines of firewalls bijvoorbeeld, is het erg onwaarschijnlijk dat dit gebeurt. Om deze reden heeft het meer zin om ondersteuning voor machines die opereren als een server direct in de kernel te compileren.
    
    
  2. Waarom mislukt het inloggen als root vanaf een remote machine altijd?
    
    
    Antwoord: Zie Root beveiliging. Dit is bewust gedaan om te voorkomen dat gebruikers via telnet een verbinding als root tot stand proberen te brengen, hetgeen een ernstige beveiligingskwetsbaarheid is, omdat dan het root wachtwoord, in leesbare tekst, verzonden zou worden over het netwerk. Vergeet niet: mogelijke indringers hebben de tijd en kunnen programma's uitvoeren die automatisch naar je wachtwoord zoeken.
    
    
  3. Hoe schakel ik "shadow passwords" op mijn Red Hat 4.2 of 5.x Linux box uit?
    
    
    Antwoord: Om "shadow passwords" uit te schakelen, voer je pwconv uit als root. Nu zou /etc/shadow moeten bestaan en worden gebruikt door applicaties. Als je Red Hat 4.2 of hoger gebruikt, zullen de PAM modules zich automatisch aanpassen aan de verandering van het gebruik van het normale /etc/passwd naar "shadow passwords" zonder enige andere wijziging.
    
    
    Een stukje achtergrondinformatie: "shadow passwords" is een techniek om je wachtwoord in een bestand, anders dan het normale /etc/passwd bestand, op te slaan. Dit heeft verscheidene voordelen. Het eerste is dat het schaduw bestand, /etc/shadow, alleen leesbaar is voor root, in tegenstelling tot /etc/passwd, wat leesbaar moet blijven voor iedereen. Het andere voordeel is dat je als beheerder accounts kan vrijgeven af afsluiten, zonder dat iedereen de status van andere gebruikersaccounts weet.
    
    
    Het /etc/passwd bestand wordt dan gebruikt om gebruiker- en groepsnamen in op te slaan, die worden gebruikt door programma's als /bin/ls om het gebruikers ID naar de juiste gebruikersnaam om te zetten in een directoryweergave.
    
    
    Het /etc/shadow bestand bevat dan alleen de gebruikersnaam en zijn/haar wachtwoord en misschien informatie over het account, zoals wanneer het account vervalt e.d.
    
    
    Om "shadow passwords" in te schakelen, voer je pwconv uit als root. Nu zou /etc/shadow moeten bestaan en worden gebruikt door applicaties. Omdat je Red Hat 4.2 of hoger gebruikt, zullen de PAM modules zich automatisch aanpassen aan de verandering van het gebruik van het normale /etc/passwd naar "shadow passwords" zonder enige andere wijziging.
    
    
    Omdat je geïnteresseerd bent in het beveiligen van je wachtwoorden, zul je wellicht ook geïnteresseerd zijn in de totstandkoming van goede wachtwoorden op zich. Hiervoor kun je de pam_cracklib module gebruiken, die onderdeel uitmaakt van PAM. Het kijkt of je wachtwoord voortkomt in de "Crack libraries", om je te helpen met de beslissing of het te gemakkelijk te raden is door programma's die wachtwoorden kunnen kraken.
    
    
  4. Hoe kan ik de Apache SSL extensies inschakelen?
    
    
    Antwoord:
    1. Haal SSLeay 0.8.0 of hoger op vanaf ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL.
    2. Bouw, test en installeer het!
    3. Haal de Apache 1.2.5 source op.
    4. Haal de Apache SSLeay extensies op vanaf here.
    5. Pak het uit in de apache-1.2.5 source directory en patch Apache zoals beschreven in README.
    6. Configureer en bouw het.
      
      
    Je kunt ook ZEDZ net proberen, dat veel kant en klare pakketten heeft en zich buiten de Verenigde Staten bevindt.
    
    
  5. Hoe kan ik gebruikersaccounts bewerken en toch de beveiliging behouden?
    
    
    Antwoord: De Red Hat distributie, speciaal Red Hat 5.0, bevat een groot aantal tools om de eigenschappen van gebruikersaccounts te veranderen.
    
    
    Al deze programma's zijn "shadow-aware" -- dat houdt in dat als je "shadow" inschakelt, ze /etc/shadow zullen gebruiken voor wachtwoordinformatie, anders doen ze dat niet. Zie de respectieve man pagina's voor aanvullende informatie.
  6. Hoe kan ik met behulp van Apache bepaalde HTML documenten met een wachtwoord beveiligen?
    
    
    Ik wed dat je niet wist van het bestaan van http://www.apacheweek.org of wel?
    
    
    Je kunt informatie over het authenticeren van gebruikers vinden op http://www.apacheweek.com/features/userauth evenals andere web server beveiligingstips van http://www.apache.org/docs/misc/security_tips.html

Verder Terug Inhoud