ээээ... man chmod? :)

Да, в MS Windows _может_ и находятся причины "дать посидеть" под рутом, но в Linux таковых нету, как и причин просто "посидеть под рутом".

Если ты даешь корешам рутовый аккаунт на поработать, о какой ВООБЩЕ безопасности может идти речь? И pap-secrets тут до фонаря.

Я как то вообще в первый раз задумался об этом, и понял почему - мне этого не надо :) Если кто-то получит рутовый аккаунт на моей тачке, мне будет уже как то пох на какие-то там диалап-пароли :)

>или я один терзаюсь этим? а грамотные линуксоиды забивают на это болт? ;))..

Похоже, что да ;)

Как было верно подмечено, если давать кому-либо рутовый шелл - о какой-либо секурности речь вообще идти не может, так как такой кто-то может делать с системой всё, что угодно и тут уже до лампочки, в каком виде хранятся пароли.

З.Ы. Рутовые права в никсах != админские права в винде.

> Рутовые права в никсах != админские права в винде.

Я бы сказал так:

1. root в никсах == юзер в 9х и Ме.

2. root в никсах == system (или kernel, не помню, как оно там зовётся) в nt-образных.

>поставил pppd, пользую (пока) для дозвона к провайдеру. всё хорошо,
>всё работает.. но :)) имя пользователя и пароль доступа лежат в
>открытом виде (небезызвестное файло pap-secrets).. :)))) не могу
>удержаться от мата со смехом - это что, пример ох**енной
>секъюрности?

man pppd -> 1) papcrypt 2) напиши свой плагин

Comment: ПППД и Секъюрность

спасибо высказавшимся за советы.. так и думал, что мой вопрос вызовет примерно такую реакцию.. что ж, в свете ответов думается, что введение файла shadow c MD5 шифрованием абсолютно левая и ненужная затея.. :) и нахрена разработчики только время тратили??!? :)

граждане! вы как дети, ей богу.. :) естественно рутовый аккаунт никому из корешей не сообщается - логинюсь я сам, а дальше усаживаю гостя - типа развлекайся, товарищ! можно с относительно спокойной душой заниматься своими делами: даже если кто-то и стыбрит хэш, его ждет перебор паролей, учитывая что у меня он 11-и значный с цифрами буквами и спец-символами - это на несколько месяцев.. :) раз в пол-года/год пароли я меняю.. диалапные пароли тоже просто так не посмотришь, хоть там перебор и не нужен, тем не менее определенный гемор есть - это тебе не в текстовый файл заглянуть как линухе :)

chmod не катит, papcrypt это ключ для диалап-сервера, чтоб входящий пароль проверялся только после применения функции crypt

короче спасибо всем высказавшимся - буду писать приблуду, тем более что мне это интересно..

> спасибо высказавшимся за советы.. так и думал, что мой вопрос вызовет примерно такую реакцию.. что ж, в свете ответов думается, что введение файла shadow c MD5 шифрованием абсолютно левая и ненужная затея.. :) и нахрена разработчики только время тратили??!? :)

Глупый что-ли? Сравни права на shadow и на pap-secrets. Кроме того приличные люди MD5 хеши в shadow уже давно не используют.

Да и пароль на ppp особой ценности не представляет. Должен быть callback да и потом подниматься IPsec по ключу.

А насчет ppp для товарища - давно пора прочитать man по команде sudo и не морочить себе голову (и другим тоже :).

А приблуду пиши разьве что надо в программировании тренироваться. Да и то есть куча не написаных еще более важных приблуд.

>Глупый что-ли? Сравни права на shadow и на pap-secrets глупый.. сравнил, не понял.. :) поясни свою мыслю (без пальцев и лишнего в**ебона), пожалуйста

>Кроме того приличные люди MD5 хеши в shadow уже давно не используют. а что используют приличные люди?

>Да и пароль на ppp особой ценности не представляет. Должен быть callback да и потом подниматься IPsec по ключу. ага, т.е. нужно не просто купить карточку устраивающего меня провайдера, а еще созваниваться с ним и пытать на тему колбэка - не будут ли они так любезны организовать его для меня, ради ублажения моих параноидальных мыслей.. :)

>А насчет ppp для товарища - давно пора прочитать man по команде sudo и не морочить себе голову (и другим тоже :). уже читаю, но пока не пробовал.. гратулирэ.. ;)

>А приблуду пиши разьве что надо в программировании тренироваться. Да и то есть куча не написаных еще более важных приблуд. не будь голословным, скажи, какой приблуды тебе не хватает? что бы ты, например, хотел в первую очередь?

с уважением

>Глупый что-ли? Сравни права на shadow и на pap-secrets

глупый.. сравнил, не понял.. :) поясни свою мыслю (без пальцев и лишнего в**ебона), пожалуйста

>Кроме того приличные люди MD5 хеши в shadow уже давно не используют.

а что используют приличные люди?

>Да и пароль на ppp особой ценности не представляет. Должен быть callback да и потом подниматься IPsec по ключу.

ага, т.е. нужно не просто купить карточку устраивающего меня провайдера, а еще созваниваться с ним и пытать на тему колбэка - не будут ли они так любезны организовать его для меня, ради ублажения моих параноидальных мыслей.. :)

>А насчет ppp для товарища - давно пора прочитать man по команде sudo и не морочить себе голову (и другим тоже :).

уже читаю, но пока не пробовал.. гратулирэ.. ;)

>А приблуду пиши разьве что надо в программировании тренироваться. Да и то есть куча не написаных еще более важных приблуд.

не будь голословным, скажи, какой приблуды тебе не хватает? что бы ты, например, хотел в первую очередь?

с уважением

Насчет shadow погарячился извини. Подзабыл уже как оно там.

У меня доступ к нему RSBAC разруливает. А там где его нет - есть tcb.

Испоьлуют как хеши чаще всего blowfish сейчас.

Если у тебя доступ по ppp к важной информации - там очень желателен callback и обязателен IPsec если звониш не на прямую (хотя он никогда не помешает :)

А про sudo обязательно прочитать надо. И использовать его надо гораздо чаще чем su

В первую очередь что бы я хотел... Например полный KLIPS на 2.6 ядре :)

> А про sudo обязательно прочитать надо.

А главное -- понять. Понять, почему редактировать /etc/sudoers можно только при помощи visudo, почему в этом конфиге обязательно нужно указывать полные пути к программам, почему нельзя кому бы то ни было давать права на шелл либо программы, умеющие запустить из-под себя стороннюю (например, vi). И ещё много чего.

> И использовать его надо гораздо чаще чем su

При грамотно написанном /etc/sudoers -- root login и su не нужны как класс.

Блин, если тебя это так задевает. Напиши скрипт, который до того как позвонить вызывает mcrypt скажем и рассшифровывает пароли, а после авторизации зашифровывает и впихни их в ip-up.local и ip-down.local в /etc/ppp. Это будет UNIX-way, а не писать какую-то приблуду.

А чувак, который сидит по рутом может сделать passwd, а не взламывать твой пароль.

Вообще говоря, shadow и pap-secrets отличаются _принципиально_. Почему? Объясняю.

В shadow надо хранить хэш пароля, чтобы при проверке можно было сделать хэш введённого пароля и сравнить один с другим. Задача - чем сложнее реверсивное преобразование хэша в пароль, тем лучше.

В pap-secrets надо хранить пароль, _который_ будет отсылаться провайдеру. Если будешь хранить там хэш, то ближайшее соединение светит тебе никак не раньше, чем через пару миллионов лет, когда выковыряешь пароль из такого pap-secrets. Если же есть возможность реверсивного преобразования, то, учитывая открытость исходников, через неделю каждый крякер, добравшийся до чужого pap-secrets, будет точно также тырить пароли, как и сейчас. Если учесть возможную закрытость исходников, срок увеличится до пары месяцев. Как в Win95.

Так что, ни один нормальный человек не будет заморачиваться такой муйнёй. Если тебе лень настроить sudo, то ты ССЗБ.

я параноик спасибо за умные соображения

а про "пару миллионов лет" - спустись на землю, мальчик :)

> а про "пару миллионов лет" - спустись на землю, мальчик :)

Да, облажался - пару миллиардов :)

NEXT: ПППД и Секъюрность

в продолжение темы - в очередной раз катаюсь по полу от смеху: поставил "иксы" и, соответственно, мощную звонилку 'KPPP'... это что, издевательство над неискушенными пользователями??? пока мы тут поем деферамбы суперкрутой и замечательной системе линукс - пароль в абсолютно доступном виде лежит себе (на всеобщее обозрение) в файле '~/.kde/share/config/kppprc' или '/usr/share/config/kppprc'

звездец полный. интересно, сколько еще лажовых мест не заметных глазу можно откопать в этом дистрибутиве (мандрюк10) если ковырнуть его глубже? доверие постепенно тает...

Это не в мандрейке (и не в линуксе вообще), а в головах авторов kppp.

> а в головах авторов kppp.

Ещё одно подтверждение тому, что всем этим гуйовинам доверия ни на грош.

надо сказать что в pap-secrets реквизиты тоже прописываются, первого провайдера, что порадовало и успокоило (плюс при первом запуске и настройке оно спашивало рутовый пароль).. но насторожило, что второй введенный провайдер там не появился - соответсвенно после коротких манипуляций и всплыли вышеуказанные kppprc файлы.. видимо создатели KPPP всё же шли верным курсом, но пока не дошли до конца.. :)

в виду имелся конечно же конкретный дистрибутив (MD10), т.к. в других возможно используются другие сборки KPPP, более корректные по отношению к паролям..

Всё это да, ... Но мне проще прописать всё что надо в одном файле, чем исследовать килобайты кода и поведение софтины на предмет "а не делает ли она каких-нибудь глупостей?".