1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
|
<chapter id="security">
<title
>&kppp; ja turvalisus</title>
<para
>See osa on mõeldud peamiselt administraatoritele (<systemitem
>root</systemitem
>), kõrgendatud turvanõuetega isikutele või ka lihtsalt neile, keda huvitab sügavamalt asja tehniline külg. Kui &Linux; on kasutusel ainult kodus, ei ole erilist vajadust seda osa lugeda, kuigi mõistagi on ka siin paar-kolm asja, mida võiks kõrva taha panna.</para>
<sect1 id="security-restricting-access">
<title
>&kppp; ligipääsu piiramine</title>
<para
>Süsteemiadministraator võib piirata nende isikute arvu, kes saavad &kppp;-d kasutada. Seda saab teha kahel moel.</para>
<sect2 id="security-group-permissions">
<title
>Ligipääsu piiramine grupiõigustega</title>
<para
>Loo uus grupp (näiteks <systemitem
>helistajad</systemitem
>) ja lisa sinna kõik kasutajad, kes on luba &kppp;-d kasutada. Seejärel anna käsureal korraldus:</para>
<screen
><prompt
>#</prompt
> <userinput
><command
>chown</command
> <option
>root.helistajad</option
> <filename
>/opt/kde/bin/kppp</filename
></userinput>
<prompt
>#</prompt
> <userinput
><command
>chmod</command
> <option
>4750</option
> <filename
>/opt/kde/bin/kppp</filename
></userinput
>
</screen>
<para
>See eeldab, et &kde; on paigaldatud kataloogi <filename class="directory"
> /opt/kde</filename
> ja et uue grupi nimi on <systemitem
>helistajad</systemitem
>.</para>
</sect2>
<sect2 id="security-kppps-way">
<title
>Ligipääsu piiramine &kppp; vahenditega</title>
<para
>Enne millegi ettevõtmist kontrollib &kppp;, kas on olemas fail <filename
>/etc/kppp.allow</filename
>. Kui see on olemas, on ainult selles nimetatud kasutajatel lubatud välja helistada. See fail peab olema kõigile loetav, kuid mõistagi <emphasis
>MITTE</emphasis
> kirjutatav. Tunnistatakse ainult kasutajanimesid, nii et selles failis pole võimalik kasutada <acronym
>UID</acronym
>-d. Üks väike näide:</para>
<screen
># /etc/kppp.allow
# selliseid kommentaariridu eiratakse,
# nagu ka tühje ridu
pets
karl
maali
</screen>
<para
>Toodud näites on ainult kasutajatel <systemitem
>pets</systemitem
>, <systemitem
>karl</systemitem
> ja <systemitem
>maali</systemitem
> lubatud välja helistada, samuti kõigil kasutajatel, kelle <acronym
>UID</acronym
> on 0 (seega ei pea administraatorit (root) failis eraldi ära märkima).</para>
</sect2>
</sect1>
<sect1 id="security-why-suid">
<title
>&kppp; on <acronym
>SUID</acronym
> bitiga? Ja kuhu jääb siis turvalisus?</title>
<para
>Tegelikult on vist võimatu kirjutada sissehelistajat ilma <acronym
>SUID</acronym
> bitita, mis oleks ühtaegu turvaline ega valmistaks kogemusteta kasutajatele ületamatuid raskusi. &kppp; kasutab turvaprobleemide puhul järgmist strateegiat.</para>
<itemizedlist>
<listitem>
<para
>Kohe pärast rakenduse käivitamist &kppp; haruneb.</para>
</listitem>
<listitem>
<para
>Ülemprotsess, mis tegeleb kõigi <acronym
>GUI</acronym
> operatsioonidega (näiteks suhtlemine kasutajaga), loobub pärast harunemist <acronym
>SUID</acronym
> staatusest ja töötab tavaliste kasutaja õigustega.</para>
</listitem>
<listitem>
<para
>Allutatud protsess säilitab privileegid ning vastutab kõigi tegevuste eest, mis nõuavad administraatori (<systemitem
>root</systemitem
>) privileege. Et see oleks turvaline, ei kutsuta välja ei &kde; ega &Qt; teeke, vaid esitatakse ainult lihtsaid teegi väljakutseid. Selle protsessi lähtekood on väike (umbes 500 rida) ja väga hästi dokumenteeritud, nii et soovi korral saavad kõik kontrollida, ega selles turvaauke leidu.</para>
</listitem>
<listitem>
<para
>Ülem- ja allutatud protsess suhtlevad standardse &UNIX; <acronym
>IPC</acronym
> vahendusel.</para>
</listitem>
</itemizedlist>
<para
>Selle suurepärase koodijupi kirjutamise eest kuulub eriline tänu Harri Portenile. Me arvasime, et see on võimatu, kuid tema tuli sellega toime vaid nädalaga.</para>
</sect1>
</chapter>
|