Utente ROOT come fosse utente normale.

[Mario Vanoni]

Scusami mario per la mia ignoranza, ma allora, potrebbero avere anche ragione gli altri, quando dicono che a questo punto i controlli vanno fatti prima, e che in fondo, un lamer tanto bravo da programmare un troian del genere, per linux, conosce bene il sistema, e quindi andrebbe a modificare direttamente /usr/bin/su oppure no ?

Se e` veramente capace, si!

[masalapianta]

@masalapianta
1) Rileggi

ho gia letto e ti ripeto che non ho trovato neanche una motivazione valida per la quale, usare /bin/su in luogo di su, possa esser piu' sicuro

2)
Per la definizione di worm:
http://www.bellevuelinux.org/worm.html

tu hai scritto: "Unico virus UNIX/BSD 1988 il Morris worm"
questo significa che un worm e' anche un virus, il che non e' vero; nel link che hai postato (e che evidentemente non hai letto) si chiarisce abbastanza bene quale sia la differenza tra worm e virus

[masalapianta]

domanda :
come si potrebbe manomettere il comando "su" da semplice utente ?

Non puoi!

Ma ogni SW che installi con root permission puo`!

E` li` il dilemma, o ti fidi della SW,
o la controlli a mano riga per riga.

sono imbarazzato, cio' nondimeno provero' lo stesso a spiegare qualcosa che ritenevo ovvio (ma evidentemente non lo e'):
da quel che capisco dalla tua risposta a navajo tu affermi che eseguire 'su' senza path assoluto puo' essere insicuro perche' qualcuno puo' aver installato in /usr/bin,/usr/local/bin un altro 'su' modificato (immagino un wrapper al vero 'su' che logghi le password), per farlo servono ovviamente permessi di root, e tu affermi che puo' esser fatto installando un software modificato ad hoc; la domanda sorge spontanea: chi e' il demente che, una volta riuscito a far eseguire il codice che vuole (con il software installato di cui sopra) con privilegi di root su una data macchina, si mette a installare 'su' modificati su altri path??? se arrivo al punto di poter eseguire codice arbitrario con euid 0, me ne frego di installare altri 'su', sono gia root; ma se proprio mi interessa scoprire la password di root (magari perche' non voglio installare backdoor su openssh o altro, per evitare di aumentare le possibilita' di venir scoperto, e quindi voglio accedere normalmente conoscendo la password) faccio prima a modificare direttamente /bin/su (senza installarne altri) oppure mettere sotto ptrace() openssh (greppando le opportune read() ) o qualsiasi altro software dove viene inserita la password di root.
Quindi no, eseguire 'su' con il path assoluto non e' piu' sicuro, cosi' come non e' piu' sicuro evitare di lasciare duplicati delle chiavi di casa dentro casa, perche' se un ladro entra, poco te ne frega che possa trovare le chiavi di casa, visto che e' gia entrato

[Darkstar89]

Ciao.. Non sono un'utente bravissimo ma credo che non cambi niente su o /bin/su..

navajo ha scritto:domanda :
come si potrebbe manomettere il comando "su" da semplice utente ?

Non puoi credo, ma puoi mandare un fakeroot al root, e così al prossimo login root, salva la password (quella importante) in un file... Io se devo fare cose che si fanno da root (cose che lo sarebbe meglio fare senza altri processi in esecuzione)vado in runlevel1 o per fare cose semplici vado sul tty6 o un 'altro e faccio il login...!
Nessuno usa script interessanti che vuole far leggere? ciao

[neongen]

domanda :
come si potrebbe manomettere il comando "su" da semplice utente ?

Non puoi!

Ma ogni SW che installi con root permission puo`!

E` li` il dilemma, o ti fidi della SW,
o la controlli a mano riga per riga.

sono imbarazzato, cio' nondimeno provero' lo stesso a spiegare qualcosa che ritenevo ovvio (ma evidentemente non lo e'):
da quel che capisco dalla tua risposta a navajo tu affermi che eseguire 'su' senza path assoluto puo' essere insicuro perche' qualcuno puo' aver installato in /usr/bin,/usr/local/bin un altro 'su' modificato (immagino un wrapper al vero 'su' che logghi le password), per farlo servono ovviamente permessi di root...

era per questo che ho scritto il post precedente. per metterlo da qualche parte in ~/ e poi aggiungere poi quel percorso a PATH non servono i permessi di root...

[Bakkio2]

Vedo che questo mio post non è servito a niente... anzi, noto con dispiacere che come sempre si sconfina al di fuori dei topic.
Ma si può sapere cosa centrano 3 pagine di post su 4, a discutere se utilizzare su o /bin/su con l'argomento ROOT come utente normale??????
Apritevi un post tutto vostro....
Ma questo è sempre il solito sistema... si parla di kde 4.2 beta e giù a discutere di root e non root, si parla di kdebluetooth e si discute su come instalare reti wireless... etc etc...
Se il moderatore della sezione libera legge, chiuda pure il post, io nonostante sia il creatore del post non sono riuscito a bloccarlo...
Ringrazio comunque tutti coloro che sono intervenuti sull'argomento in modo coerente!!!!!

[masalapianta]

era per questo che ho scritto il post precedente. per metterlo da qualche parte in ~/ e poi aggiungere poi quel percorso a PATH non servono i permessi di root...

certo, ma se vuoi modificare il $PATH dell'utente pippo ti serve poter eseguire codice con l'euid di pippo, non ti basta avere accesso come un utente deprivilegiato qualsiasi, ma a quel punto, se ho i privilegi dell'utente pippo, posso leggere la password digitata da pippo (che ha lanciato 'su') direttamente dalla tty; quindi farsi le seghe mentali su path assoluti diventa perfettamente inutile.

[aschenaz]

Bakkio2 ha ragione (ci sono cascato anch'io).

Per favore, postate su questo topic solo in rispetto dell'argomento
originario.
Per l'argomento su vs /bin/su (altrettanto interessante), vi consiglio
di aprire un altro thread...
Grazie!

[Mario Vanoni]

Bakkio2 ha ragione (ci sono cascato anch'io).

Per favore, postate su questo topic solo in rispetto dell'argomento
originario.
Per l'argomento su vs /bin/su (altrettanto interessante), vi consiglio
di aprire un altro thread...
Grazie!

Sei il sysadm, con login root
Hai altri utenti, chiamane uno pippo

Da root fai
/bin/su - pippo
e sei pippo con il suo environment
senza la password di pippo

Fuori topic?

[aschenaz]

...
Fuori topic?

Non del tutto. Però si alimenta un flame che diventa improduttivo per
l'argomento originario.
La regola di mantenere gli argomenti separati gioca soprattutto a
favore delle ricerche successive: un giorno, se vorrai rileggere questa
discussione, dovrai ricordarti che si trattava di utente vs root, piuttosto
che su vs /bin/su...

[raffaele181188]

Effettivamente stavolta non sembra così Offtopic l'argomento. E a ben guardare non si tratta nemmeno di un flame, ma di una discussione su un argomento di sicurezza piuttosto importante. E la sicurezza è il motivo principale per cui, nella prima pagina di ogni manuale Linux, si consiglia di usare UN UTENTE NORMALE E NON ROOT. Rileggendo gli ultimi post il lettore attento può così conoscere quali sono alcuni dei meccanismi con cui il software malevolo può far danni. E quindi perchè è consigliabile non usare root come fosse utente normale.

Mi sembriamo in argomento...

[Mario Vanoni]

Sysadm + programmatore + utente, sempre root!
Prudente, con il cervello sempre acceso,
se un utente causa/ha un guaio, intervengo subito,
senza perdere tempo per "sudare".

Prudente? Si`, ma non pigro, uso sempre p.e.
cp -aiv
mv -iv
rm -iv
vedo cosa fa il programma e,
se ho sgarrato un tasto, me ne accorgo subito,
prima che succeda un guaio.

Programmi cruciali sempre con /path/cmd,
soprattutto negli script, ma anche quelli
usati in un programma C con system(3).

Le sorgenti dei programmi appartengono a root,
chown -R root:root *,
permissions delle dirs drwx------, files -rw-------.
chown 0700 e chown 0600.

Controlli ogni minuto,
sia con crontab(1) che con syslogd(8),
l'ultimo cambiando rc.syslog e syslog.conf,
macchina 1 compresi messaggi delle altre due.

...

[absinthe]

ti dico la mia. ovviamente tutto imho.

Ovviamente io sono un fautore della sicurezza tanto da odiare e non volere affatto reti wifi.

questo significa che non hai portatili in giro per casa o per lavoro... io sarei morto senza wifi. tant'è vero che da quando mi sono trasferito e convivo con la mia ragazza, non avendo una rete wifi e non potendo cablare la casa, di fatto su internet ci vado di rado se non dall'ufficio (adesso sono sul portatile della mia ragazza con una pennina momo 3g usb con connessione h3g)

Ora credo di essere abbastanza coperto avendo a monte due firewall in cascata e un proxy...

in realtà non capisco l'utilità di 2 firewall! o ci sono regole ridondanti oppure potresti portare tutto su un unico firewall, in più mi pare di capire che sei nattato dietro ad un router (o ho capito male io?)...

Infatti sul mio client ho solo l'utente root.

come essere in ms-dos... gli utenti divisi sono creati per distinguere i ruoli: utente o amministratore? cosa sei in un certo momento? dipende da quello... in più tieni conto che in un ambiente grafico puoi essere root in console e utente normale per il resto delle operazioni!

E' troppo comodo ogni volta che spengo il computer far scendere la tendina di yakuake e digitare senplicemente halt per spegnere. (anche perchè io lavoro in run level 3, anche se la maggior parte delle volte il primo comando che do dopo essermi loggato è : startx)
E che dire quando ogni giorno sempre da yakuake do "slapt-get --update" e "slapt-get --upgrade" senza dovermi riloggare da root perchè lo sono già???

Codice: Seleziona tutto

su -c "slapt-get --update && slapt-get --upgrade"

oppure usi sudo senza ripetizione di password...

E poi diciamoci la verità, in 6 anni che utilizzo questo metodo, non mi è mai successo .... (non dico la parola "niente" solo per non portarmi iella da solo, metti che proprio oggi avvenga l'immaginabile!).

dipende quante ore sei costretto a lavorare a ritmi forzati su un pc... almeno nella mia esperienza!

M

[Mario Vanoni]

dipende quante ore sei costretto a lavorare a ritmi forzati su un pc... almeno nella mia esperienza!

La mia vita come root, stile 24/7:

ufficiale 9/5, in pratica 12/5,
piu` ore supplementari il sabato,
la domenica e giorni festivi.

Ma quando si ama il proprio lavoro e
l'informatica e` l'hobby preferito ...

[navajo]

Anche a me sembra che il discorso non sia andato troppo off topic.
Comunque tornando alla domanda principale, penso che sia questione di buon senso.
La mia idea e:
Devo loggarmi per testare la rete, fare controlli di routine e sistemare eventuali upgrade di sicurezza e cosucce che solo root può fare, anche da shell.
In quel caso, mi loggo da root, non do neanche startx, faccio quello che devo fare, e mi scollego.
Devo controlalre la posta, controllare il forum, ascoltare un po di musica, e magari vedere un film.
Mi loggo da utente. e poi magari da konsolle vedo se ci sono upgrade significativi, e faccio dei controlli di routine...
Insomma, credo che non ci siano regole stabilite, nessuno vieta di loggarsi come root se si deve solo fare lavoro di root.
Per il resto, credo che sia buona abitudine usare un utente normale, e anzi, a buon veduta, si potrebbe creare un terzo utente: guest
che abbia solo accesso ad internet e magari diritti di scrittura solo sua home. Cosi se viene un amico, o un parente, che deve controllare la posta e scaricare un allegato, non mi crea danni.