• Категории
  • Подписка
  • Разместить статью
10/06/10 17 4954 Учетные записи пользователей
-

Суперпользователь — звучит гордо

Суперпользователь — сила и неограниченная власть в Linux. Учетная запись root предоставляет доступ ко всей системе. С одной стороны, это очень удобно и полез­но. С другой — постоянная головная боль администраторов, вынужденных сражаться со всякой «нечистью», рвущейся к власти. Давайте вместе рассмотрим советы относительно конфигурирования и использования учетной записи root. Итак.

Существуют четыре важных правила, касающихся использования учетной записи root:

  • Разрешайте доступ к учетной записи root только через команды su и sudo.
  • Переходите в режим суперпользователя только тогда, когда это действительно необходимо.
  • Тщательно контролируйте команды, выполняемые в режиме суперпользователя.
  • Если необходимо заниматься дистанционным администрированием системы на пра­вах суперпользователя, используйте пакет SSH и утилиту sudo.

Нежелательно постоянно работать в режиме суперпользователя. Рассматривайте учет­ную запись root как специальную (административную), необходимую лишь в особых случаях. Переходить в привилегированный режим необходимо только для вы­полнения действий, доступных лишь суперпользователю.

Став суперпользователем, будьте внимательны. Например, прежде чем выполнить команду shutdown, убедитесь, что вы зарегистрированы в той системе, которую собираетесь остановить. Для этого воспользуйтесь командой unamen или hostname. Прежде чем выполнять команду rm r *, убедитесь, что вы находитесь в нужном каталоге. Команда rmi будет запрашивать подтверждение на удаление каждого файла.

Советы по ограничению действий суперпользователя:

1. Задайте переменную среды PATH так, чтобы она содержала минимум элементов.

  • Не указывайте каталоги, открытые для записи всем пользователям: можно случайно запустить «троянчика».
  • По той же самой причине не указывайте «.» (жесткая ссылка на текущий каталог).

2. Указывайте полные имена вызываемых команд.

3. Не указывайте «/» в качестве начального каталога суперпользователя.

Почему необходимо использовать SSH? Потому, что он позволяет осуществлять аутентифи­кацию, выходящую за рамки традиционных паролей Linux. Он организует защищенный туннель между двумя системами, шифруя все передаваемые данные. Всегда пользуйтесь этим пакетом, если необходимо стать суперпользователем в удаленной системе.

Группы суперпользователей

В крупных системах нередко возникает ситуация, когда административными полномочиями необходимо наделить целую группу людей. Иногда для этого создается несколько root-овских учетных записей. Предположим, к примеру, что Маша и Вася отвечают за сопровождение одной и той же системы. Один из способов контроля их деятельности — создать две учетные записи, скажем, rootm для Машки и rootv для Васьки, каждую со своим уникальным паролем и идентификатором пользователя 0. Если Машуне нужен привилегированный доступ, она может зарегистрироваться в системе напрямую или с помощью команды su как пользователь rootm. To же самое может сделать и Василий, но от имени пользователя rootv.

Преимущество такого подхода состоит в том, что появляется возможность раздельного контроля (поговорим об этом в следующих статьях). Кроме того, не приходится совместно использовать один и тот же пароль. С другой стороны, каждая учетная запись с идентификатором пользователя 0 — это еще одна потенциальная брешь в защите системы. Наилучший способ контроля действий администраторов — утилита sudo.

Создание учетной записи с идентификатором пользователя 0 — одна из распространенных уловок хакеров. Поэтому необходимо регулярно просматривать файл /etc/passwd (это может ав­томатически делать программа Bastille, которая также будет рассмотрена в следующих статьях) на предмет наличия несанкционированных записей, особенно если они принадлежат суперпользователю.

Уменьшение последствий взлома учетной записи суперпользователя

Получив доступ к учетной записи суперпользователя, злоумышленник захватывает контроль над всей системой.

Минимизировать разрушительные последствия такого взло­ма можно лишь двумя способами:

  1. Шифруйте все важные файлы с помощью таких средств, как CFS и PGP.
  2. Регулярно создавайте резервные копии системы в неповрежденном состоянии. Контролировать целостность системы позволяют программы Bastille и Trip­wire.

Применение шифрования существенно затруднит злоумышленнику доступ к конфиденциальным данным. Наличие неповрежденных резервных копий позволит восстановить систему в корректном состоянии после того, как произошел взлом.

Настройка файла /etc/securetty

Файл /etc/securetty определяет, с каких терминалов суперпользователь может регистрироваться в системе. По умолчанию файл сконфигурирован таким образом, что суперпользователю доступны только аппаратная консоль (монитор, непосредственно подключенный к системе, — /dev/tty1) и виртуальные консоли (/dev/tty2-tty8). Попытки зарегистрироваться через другие устройства будут проигнорированы — придется регистрироваться в системе как обычный пользователь, а затем выполнять команду su. Стандартный вид файла /etc/securetty такой:

# cat /etc/securetty
ttyl
tty2
tty3
tty4
tty5
tty6
tty7
tty8

Как видите, в нем нет записей вида pts*, т.е. привилегированный доступ по сети запрещен. Можно еще больше ограничить доступ, запретив виртуальные консоли и оставив только аппаратную консоль (tty1).

Если файл /etc/securetty существует, но пуст, суперпользователь вообще не сможет напрямую зарегистрироваться в системе. Ему придется пользоваться командой su или sudo, что представляет собой гораздо более безопасный подход.

Если файл /etc/securetty не существует, суперпользователь сможет регистрироваться в системе откуда угодно! Осторожно! Таким образом, следует всегда проверять наличие этого файла.


17 комментариев на «“Суперпользователь — звучит гордо”»

  1. Все вопросы по линуху можно решить с помощью форумов, там всегда подскажут или уже есть подобный случай!

  2. becks:

    Помню… изучали такое в инстике, но там так и не привили мне любовь к линуксу :)

  3. >Все вопросы по линуху можно решить с помощью >форумов, там всегда подскажут или уже есть
    >подобный случай!
    По моему опыту, часто на форумах любят только потрепаться, а дельного совета не дают.

  4. anna:

    Пока такие проблемы не возникали, но может пригодиться.

  5. Благодарю за советы. Как раз осваиваю линукс :) Очень пригодятся

Добавить комментарий

Яндекс.Метрика