K čemu ROOT, když je vlastně nanic

[qUAKER]

sudo není žádné zvýšení bezpečnosti, spíš potencionální bezpečnostní riziko

a k titulku tématu - root není nikdy zakázaný a ani není nanic - je to nedílná součást všech *nix systémů, jen nemá v ubuntu heslo a sudo normálně roota používá, jen místo hesla roota zadáváš uživatelské heslo(už to je vcelku nebezpečné) a používá to konfiguráky z homedir a umí to timeout(tohle taky, někdo se ti připojí do PC, timeout pro sudo ještě nevypršel = kompletní práva k systému..)

[Jan Skořepa]

Já myslel, že na sudo se zadává heslo roota v každém případě, ne uživatelské heslo. Ovšem po instalaci je heslo 1. uživatele stejné jako roota, ale pokud změníte heslo uživatele, heslo roota se podle mě nemění a zůstává stejné.

[qUAKER]

Já myslel, že na sudo se zadává heslo roota v každém případě, ne uživatelské heslo. Ovšem po instalaci je heslo 1. uživatele stejné jako roota, ale pokud změníte heslo uživatele, heslo roota se podle mě nemění a zůstává stejné.

ne, v ubuntu je to tak, že heslo roota není nastaveno a používá se sudo, kterému vždy zadáš uživatelské heslo a tak sudo funguje ve všech distrech.

[dog.big]

Rozhodně je stále lepší mít v biose bloknutý boot z výměných disků a mít zaheslovaný recovery/memtest...
velmi užitečné proti nenechavým lidem. Avšak fyzický přístup do PC - tomu snad zabránit jenom zámkem na case

Jinak tu padlo možnost hesla při nabootovaní do recovery..
Nešlo by to někde upravit, aby sem nehesloval grub, ale aby bylo vyžadováno heslo pro roota?

[karel kudrna]

podle mě je používání sudo v Ubuntu drobet přehnaný a jeho možnosti jsou díky zjednodušení nevyužitý...pro zájemce: http://www.security-portal.cz/clanky/používáme-sudoers 
jakej na to máte názor? imho výbornej článek...kupříkladu tato zajímavá pasáž Nastavení defaultního chovánídokáže zbytelnit zabezpečení, není to sice na úroveň paranoia, ale dobrý...

[matyskovo]

Již jednou jsem sem přispíval, ale vidím, že ta debata se opravdu zase směruje někam divně. Zkusím přirovnání. K autu taky běžně používáte klíč, ale k čemu, když je každý průměrný zloděj dokáže nastartovat spojením dvou drátů, že... Navíc u starších aut dokonce každý domáčí kutil a bez poškození čehokoli kolem. Prostě recovery mode a root heslo nebo sudo heslo při normálním běhu systému jsou dvě úplně odlišné věci, pokud si chcete udělat fyzicky velmi obtížně napadnutelný desktop, opět podotýkám fyzicky, musíte:
1) udělat si velmi "silné" root heslo
2) z grubu úplně zrušit recovery a vše kolem
3) velmi silně zaheslovat BIOS
4) zamezit přístup všech médií do Vašeho PC - USB, PP, SP,...
5) vyrobit velmi bytenou case
6) Šifrovat celý obsah disku
Měl byste ale dělat ještě další opatření, jako třeba jeho umístění do střeženého prostoru... Prostě recovery mode je jen prkotina. Pokud mě paměť neklame, mají windows i něco jako záchraný textový režim, kde se žádné heslo nezadává, pravda není normálně nabízen, tj. jediný rozdíl je v tom, že v Linuxu je implicitně povolen a uživatel si jej musí zakázat, uzná-li, že je to k čemu, u windows povolit, pokd jsem viděl komerční instalace Linuxu, nikdy tam, nic jako záchranný režim nebylo.. Tak asi tak

[karel kudrna]

a taky nějaký výbušniny umístit na vhodná místa...

[Roman Vacho]

Že by další paranoik po shlédnutí Oko dravce ;-)

[karel kudrna]

Již jednou jsem sem přispíval, ale vidím, že ta debata se opravdu zase směruje někam divně.

směřuje logicky k zabezpečení, potažmo k bezpečnosti. víme, že existuje možnost, jak se do systému dostat bez hesla, našel jsem to před lety na ábíčku a je to jednoduchý, dokonce na to bylo specielní live CD (mimochodem už ho nemám). cesta k řešení byla logicky jednoduchá...to live to vlastně jen zautomatizovalo, odklikal sis to. umělo to i zlomit hesla u windows...ale to je to o čem se tu mluvilo. jak si k tý mašince může někdo sednout, není ochrany.  Root není na nic, je to hranice, kdy uživatel, který se přihlašuje jako root je upozorněn "tak a teď doufám víš co děláš, páč když to zvořeš, už to nenastartuješ". přihlašuju se jako root jen výjimečně...právě z tohohle důvodu. vím co dělám? dokážu to vrátit? vždyť i tady na foru byl specialista, který změnil práva k /etc a to rekruzívně... . root = systém, data = uživatel a ten je bez systému vyřízenej, ne?

[matyskovo]

Již jednou jsem sem přispíval, ale vidím, že ta debata se opravdu zase směruje někam divně.

směřuje logicky k zabezpečení, potažmo k bezpečnosti. víme, že existuje možnost, jak se do systému dostat bez hesla, našel jsem to před lety na ábíčku a je to jednoduchý, dokonce na to bylo specielní live CD (mimochodem už ho nemám). cesta k řešení byla logicky jednoduchá...to live to vlastně jen zautomatizovalo, odklikal sis to. umělo to i zlomit hesla u windows...ale to je to o čem se tu mluvilo. jak si k tý mašince může někdo sednout, není ochrany.  Root není na nic, je to hranice, kdy uživatel, který se přihlašuje jako root je upozorněn "tak a teď doufám víš co děláš, páč když to zvořeš, už to nenastartuješ". přihlašuju se jako root jen výjimečně...právě z tohohle důvodu. vím co dělám? dokážu to vrátit? vždyť i tady na foru byl specialista, který změnil práva k /etc a to rekruzívně... . root = systém, data = uživatel a ten je bez systému vyřízenej, ne?

Pod tohle se jen podepisuji, ale tahle debata nebyla o root hesle v běžícím systému, ale o tom, že recovery mode je bezpečnostní díra, což je blbost, protože to je asi taková bezpečnostní díra jako přístupný USB port, toť vše, co jsem chtěl naznačit.

[karel kudrna]

tak.
a kdybych byl hacker a chtěl si dát práci se skenováním portů, není obrany. a to jsem čet jenom Hacking bez tajemství, doporučuju každýmu pochybovači o bezpečnosti linuxu...nebo windows, ta knížka má dvě varianty...root slouží pro jednu věc, uživatelské heslo pro jinou, sudo to trošku spojuje, ale ne úplně. a hacking, který hledá bezpečnostní díry a využívá je sem nepatří.
root, byť i použitý pomocí sudo je furt root.

[nettezzaumana]

muehehehe .. nektere vyplody detskych vyjukanku jsou zde uplne ujete !!

kdy uz si to konecne uvedomite ?? kdo je dulezitej toho uz stejne sledujou a kdo neni, tak na toho nasadili BOTy a heuristicky vyhodnocujou sesbirana data ..

je to uplne jedno .. chcete vedet moje rootovske heslo? napisu ho klidne na zadost PM (ale ne vyjukankum)

ps. opensource je krasna vec ale ma to jednu vadu, bezi to vsechno na cipech o kterejch je s jistotou zname jen jedine: krome proklamovanych vlastnosti oplivaji i mnohyma jinyma a zdaleka podivuhodnejsima

[karel kudrna]

jsem dítě takže už musím jít spát. takže čau a někdy se vzájemně cvičně naboříme do svejcho kompiků, páč root je na nic

[phplus]

A hlavně do bezpečnostních děr, jak pravil kdosi na začátku diskuse.

[nettezzaumana]

A hlavně do bezpečnostních děr, jak pravil kdosi na začátku diskuse.

s@bezpectnostnich\ @@

[mka]

Jo jo to si pamatuju....

Jo jo, tenkrát to byla s PC ještě sranda - x286/RAM 1MB/HDD 80MB/MS-DOS 4. A Borland C/Assembler :-)))

[mka]

Mimochodem,
abych se jenom nepoškleboval všem právě vystrašenejm uživatelům (kdo není alespoň trochu paranoidní, že?), tak jsem si podle odkazu v úvodu diskuze nainstaloval Gufw. Roztomilé udělátko. Záhy jsem však zjistil, že když zakážu příchozí přenos, nepřipojím se přes Sambu k wxp. Hledal jsem a hledal, povolil porty 137, 138, 139 a 445 a pořád nic. Zajímavé je to, že když vše povolím, připojím se a poté zase příchozí přenosy zakážu, můžu se už na wxp hrabat, jak chci. Tedy k otázce:
Je tu někdo, komu Samba v kombinaci se zákazem příchozích přenosů (provedeným prostřednictvím Gufw) funguje? A pokud ano, jaká pravidla má nastavena?

[mka]

ps. opensource je krasna vec ale ma to jednu vadu, bezi to vsechno na cipech o kterejch je s jistotou zname jen jedine: krome proklamovanych vlastnosti oplivaji i mnohyma jinyma a zdaleka podivuhodnejsima

Máš na mysly ty čipy, co jsou schovaný uvnitř těch oficiálních a dělaj věci, o kterejch kromě MIB ví jen málokdo? Jo jo, to je vypečená technologie :-)))

[matyskovo]

ps. opensource je krasna vec ale ma to jednu vadu, bezi to vsechno na cipech o kterejch je s jistotou zname jen jedine: krome proklamovanych vlastnosti oplivaji i mnohyma jinyma a zdaleka podivuhodnejsima

Máš na mysly ty čipy, co jsou schovaný uvnitř těch oficiálních a dělaj věci, o kterejch kromě MIB ví jen málokdo? Jo jo, to je vypečená technologie :-)))

Myslíš V-čip :-) Ten co dostal Cartman do hlavy? Ty snad v PC nejsou...

[karlitos]

Ne asi mysli cip zvany "kurvitko" ktery ma tu funkci ze posle danou komponentu do kremikoveho nebe mesic po vyprseni zarucni lhuty. 

Jinak dekuju za navody , zahesloval jsem si polozky v Grubu , funguje to , ale prislo neprijemne prekvapeni : moje pekne grafike Guub-menu je pryc - pry ze neni kompatibilni s volbou password  coz me jako nenapravitelneho geeka mrzi. Zkusim jait nejaky workaround.

[Roman Vacho]

Ne asi mysli cip zvany "kurvitko" ktery ma tu funkci ze posle danou komponentu do kremikoveho nebe mesic po vyprseni zarucni lhuty. 

Jinak dekuju za navody , zahesloval jsem si polozky v Grubu , funguje to , ale prislo neprijemne prekvapeni : moje pekne grafike Guub-menu je pryc - pry ze neni kompatibilni s volbou password  coz me jako nenapravitelneho geeka mrzi. Zkusim jait nejaky workaround.

Grub 1.5 nebo Grub 2?

[karlitos]

TEN Grub co je v Jaunty , takze asi 1,5. Uz jsem o Grubu 2 take premyslel , ale nechce se mi tolik experimentovat. Nebo ma nekdo nejake pozitivni zkusenosti ?

[Martin 'Želva' Malý]

Chtěl bych poznamenat k matyskovu příspěvku, že i ve widlácké konzoli pro zotavení se heslo administrátora dává, akorát se většinou vůbec nenastavuje => je to podobné jako se sudo v Ubuntu.

[Roman Vacho]

TEN Grub co je v Jaunty , takze asi 1,5. Uz jsem o Grubu 2 take premyslel , ale nechce se mi tolik experimentovat. Nebo ma nekdo nejake pozitivni zkusenosti ?

Negativní. Ale možná to už opravili. Nicménně ten bug asi nebyl triviální. Už tam visel dlouho, takže byl asi těžší na vyřešení.

[Firzen]

No teda  tohle mě fakt překvapuje, nejsem sice vystíhovaný hlídač sých dat, ale jestli to funguje takhle, tak je ROOT jen hračička pro uživatele co si myslí, že řídí svůj vlastní systém. Průměrně inteligentní člověk si po krádeži tvýho noťasu přečte všechno bude chtít a prakticky systém převezme, jestli ho nevymaže. Připravit se o nabídku recovery odporuje úplně logice toho proč tam je. Tak nevím, rád bych žil v přesvědčení, že data uvnitř mého compu jsou jen pro mě, ale to co tady čtu nasvědčuje jasně tomu, že si to jen myslím  KIMI

Základní chybou vaší představy je, že root slouží k "ochraně" počítače. Nikoli, root dokáže za běhu systému libovolně ovlivnit téměř jakoukoli věc, po vypnutí systému se ale "vypne" i root a tím i jeho veškerá privilegia, takže nějaká oprávnění vám jsou k ničemu! Na disku jsou stále jedničky a nuly a ty se dají přečíst(a přepsat) vždycky.