Auf meinen HPUX kisten habe ich "Trusted System" aktiviert. Dies heisst dass aus der /etc/passwd der rootaccount verschwindet.
Gibt es so eine Möglichkeit auch bei linux?
Hat da jemand Erfahrung mit?
Und hat jemand Erfahrung damit, wo man einstellen kann, dass nicht jeder root werden kann? klar über Gruppenzuweisung, aber wo steht, welche Gruppe root werden darf?
"Trusted System"
Re: "Trusted System"
1. Was soll das bringen?
2. pam_wheel.
2. pam_wheel.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: "Trusted System"
Jein: es gibt Software unter Linux, die dich diesem Ziel näher bringt (wobei sich HP-UX da definitiv nicht auf den "verschwundenen" root-Account beschränkt). Als Stichworte wären dabei zu nennen:Gibt es so eine Möglichkeit auch bei linux?
- SELinux
Ein von der NSA entwickeltes MAC- (Mandatory Access Control) System, das mittlerweile standardmäßig ab dem 2.6er-Kernel enthalten ist, obwohl es ein paar potenzielle Schwächen mitbringt.
- GRSecurity
Auch die erweiterten GRSecurity-Optionen ermöglichen dir, die Allmacht von root etwas mehr einzuschränken.
- RSBAC
Das z.Zt. wohl mächtigste MAC-System.
Sämtliche Systeme haben aber gemein, dass man ein gerüttelt Maß an Hintergrundwissen und Zeit zur Einarbeitung mitbringen sollte, um das System seinen Bedürfnissen anpassen zu können.
Glücklicherweise gibt es mittlerweile bereits Distributionen, die einem einen Teil dieser Arbeit abnehmen:
- Die kommende Fedora Core 2 wird SELinux zwar per default deaktiviert lassen, dafür aber eine gewisse Standardpolicy mitbringen, die für ganz allgemeine Zwecke halbwegs passabel nutzbar ist.
- Das auf Debian basierende Adamantix setzt standardmäßig (u.a.) auf RSBAC, und bringt auch eine mittlerweile sogar recht nutzbare Defaultpolicy mit.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: "Trusted System"
1. Das bringt insofern etwas, da nun auch ein normaler User, welcher ja Leserechte auf meine passwd hat, sich diese nun nicht mehr kopieren kann. Wenn er sich die passwd kopiert und zuhause crackt hat er das rootpass. Das will ich verhindern.
2. Thx.
2. Thx.
-
captaincrunch
- Userprojekt
- Posts: 7066
- Joined: 2002-10-09 14:30
- Location: Dorsten
- Contact:
Re: "Trusted System"
Dazu gibt's seit mittlerweile ziemlich langer Zeit die /etc/shadow...1. Das bringt insofern etwas, da nun auch ein normaler User, welcher ja Leserechte auf meine passwd hat, sich diese nun nicht mehr kopieren kann. Wenn er sich die passwd kopiert und zuhause crackt hat er das rootpass. Das will ich verhindern.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc
Re: "Trusted System"
Hallo!
Ich könnte mir durchaus vorstellen dass es damit zusammenhängt, dass gerade großen Firmen wichtig ist, dass da "jemand Namenhaftes" hintersteht, so kommt http://www.nsa.gov/selinux/info/contrib.cfm sicher besser an, als
Mich würde mal interessieren was die Leute von SELinux konkret zu http://www.rsbac.org/lsm.htm und http://www.grsecurity.net/lsm.php sagen, aber hierzu konnte ich bisher nichts finden. Kennt da jemand was von Euch?
Ebenfalls interessant finde ich das recht neue Server-Projekt: http://www.gentoo.org/proj/en/server/index.xml, mal schauen was es da in naher Zukunft so gibt ;-)
Was ich ganz interessant fand: http://www.nsa.gov/selinux/list-archive ... body35.cfm
Viele Grüße
Andreas
Aber aus irgendeinem Grund scheint sich SELinux ja trotzdem durchzusetzen.CaptainCrunch wrote:- SELinux
Ein von der NSA entwickeltes MAC- (Mandatory Access Control) System, das mittlerweile standardmäßig ab dem 2.6er-Kernel enthalten ist, obwohl es ein paar potenzielle Schwächen mitbringt.
Ich könnte mir durchaus vorstellen dass es damit zusammenhängt, dass gerade großen Firmen wichtig ist, dass da "jemand Namenhaftes" hintersteht, so kommt http://www.nsa.gov/selinux/info/contrib.cfm sicher besser an, als
Nicht falsch verstehen, ich habe bisher eigentlich immer grsec favorisiert, und denke der Autor hat da wirklich einen guten Job gemacht. Und ja, es steht unter der GPL... aber gerade bei so Projekten wo im Prinzip nur eine Person die Entwicklung vorantreibt, kann sowas schnell passieren, und es ist nicht gesagt dass die Entwicklung überhaupt oder zeitnah forgesetzt wird. So z.B. auch beim Turck PHP-Cache, den ich für den besten PHP-Cache halte, aber leider enthält dieser ein paar Bugs und der Autor hat das GPL-Projekt vor 10 Monaten stillgelegt, und bis heute hat sich da nichts getan.Beginning today, May 31, 2004, development of grsecurity will cease. On June 7, the website, forums, mailing list, and CVS will be shut down[...] I began the summer in debt and had to borrow money from family to pay for food. [...] I am the sole developer and originator of ideas for the project. [...]
Mich würde mal interessieren was die Leute von SELinux konkret zu http://www.rsbac.org/lsm.htm und http://www.grsecurity.net/lsm.php sagen, aber hierzu konnte ich bisher nichts finden. Kennt da jemand was von Euch?
Ja, und auch Gentoo konzentriert sich in der letzten Zeit immer mehr auf SELinux, und bietet ebenfalls Policies: http://www.gentoo.org/proj/en/hardened/ ... /index.xmlCaptainCrunch wrote:- Die kommende Fedora Core 2 wird SELinux zwar per default deaktiviert lassen, dafür aber eine gewisse Standardpolicy mitbringen, die für ganz allgemeine Zwecke halbwegs passabel nutzbar ist.
Ebenfalls interessant finde ich das recht neue Server-Projekt: http://www.gentoo.org/proj/en/server/index.xml, mal schauen was es da in naher Zukunft so gibt ;-)
Was ich ganz interessant fand: http://www.nsa.gov/selinux/list-archive ... body35.cfm
Viele Grüße
Andreas