Het volgende wat we gaan doen is je systeem beschermen tegen lokale gebruikers. Zijn er lokale gebruikers? Ja!
Toegang krijgen tot het account een lokale gebruiker is het eerste wat een indringer doet om toegang te krijgen tot het root account. Met lakse lokale security, kunnen ze hun normale account "upgraden" naar het root account door gebruik van een aantal bugs en armzalig opgezette lokale diensten. Als je zorgt dat je lokale security goed is, heeft de indringer nog een hindernis die hij voorbij moet komen.
Lokale gebruikers kunnen een hoop schade aanrichten op je systeem (speciaal) als ze zijn hoe ze zeggen dat ze zijn. Een account verstrekken aan mensen die je niet kent of geen informatie over hebt is een slecht idee.
Je moet een gebruikers account maken met de minimale benodigd heden voor de taken die hij moeten doen. Als je een account wilt maken voor je zoon (10 jaar), kun je hem alleen toegang geven tot een text verwerker of een tekenprogramma, maar hem niet de mogelijkheid geven om data te deleten dat niet van hem is.
Enkele goede aanwijzingen om iemand een veilig account te geven op je Linux machine:
Veel gebruikers account's die gebruikt worden bij een aanval zijn die die maanden of jaren niet gebruikt zijn. Omdat niemand ze gebruikt, is het een ideaal aan-vals 'voertuig'
Het meest gevaarlijke account op je machine is dat van root (super-user). Dit account heeft bevoegdheid over de gehele machine, en dat kan ook betekenen bevoegdheid over andere machines op het netwerk. Onthoud dat je het root account alleen moet gebruiken voor hele kort, specifieke taken, en je moet meestal draaien als een normale gebruiker. Zelfs kleine foutjes als je in-gelogd bent als root kunnen problemen veroorzaken. Hoe korter je root ben hoe veiliger je bent.
Enkele trucks om te voorkomen dat je je computer overhoop haalt als root:
"rm foo*.bar"
wilt doen, doe dan eerst "ls foo*.bar"
en kijk dan
of je de files weg gooit die je wilde weggooien. echo
gebruiken i.p.v vernietigende
commando's werkt soms ook.zeker
weet
wat je moet doen als root.PATH
variabel) specificeert de directories waar de shell moet kijken voor
programma's. Probeer het commando path voor de root gebruiker zoveel mogelijk te beperken,
en zet er nooit .
(dat betekend "de actuele directorie") in. En, zorg dat je nooit
schrijf-bare directories in je PATH hebt, dit kunnen aanvallers de mogelijkheid geven nieuwe
binaries in je path te zetten, dat kan betekenen dat ze de volgende keer root zijn als je
dat commando draait..rhosts
file voor root./etc/securetty
file staat een lijst van terminals waar root van mag
inloggen. Standaard (bij Red Hat Linux) zijn dit alleen de virtuele consoles(vtys).
Wees voorzichtig met het toevoegen van iets anders aan die file. Je moet kunnen inloggen
als je eigen reguliere gebruiker vanaf een andere computer en dan su
draaien
als je moet (hopelijk over
ssh
of een ander versleuteld
kanaal), dus het is niet nodig om direct als root in teloggen.Als je iemand absoluut root toegang moet geven (hopelijk iemand die je goed vertrouwd) op
je machine zijn daar enkele hulp middelen voor.
sudo
geeft gebruikers de mogelijkheid om hun eigen pas-woord te gebruiken om een
aantal commando's te mogen gebruiken als root. Dit geeft je de mogelijkheid, bijvoorbeeld,
om een gebruiker de mogelijkheid te geven om removable media(cdrom, etc...) te mounten en
eruit halen op je linux machine, maar ze hebben geen andere root rechten.
sudo
houdt ook een log file bij van alle succesvolle en on-succesvolle sudo
pogingen, dit geeft je de mogelijkheid om te kijken wie welk commando gebruikte voor wat.
Daarom werkt sudo
goed in plaatsen waar een paar mensen root moeten zijn, omdat
het je instaat stelt om te zien wat ze doen.
Hoewel sudo
specifieke gebruikers specifieke rechten kan geven voor specifieke
taken, heeft het toch tekort komingen. Het zou alleen maar moeten worden gebruikt voor
taken als de server re-starten, een gebruiker toevoegen. Elk programma dat een shell escape
heeft geeft root toegang tot de gene die het programma heeft gestart heeft.
Dit zijn bijvoorbeeld de meeste editors. Ook een onschadelijk programma as
/bin/cat
kan gebruikt worden om files teoverschrijven, dit kan veroorzaken dat het
root account wordt misbruikt. beschouw sudo
als een verantwoording, maar verwacht
niet dat het het root account kan vervangen en dan nog steeds secure is.