From f7e7a923aca8be643f9ae6f7252f9fb27b3d2c3b Mon Sep 17 00:00:00 2001 From: Timothy Pearson Date: Sat, 3 Dec 2011 11:05:10 -0600 Subject: Second part of prior commit --- tde-i18n-et/docs/tdenetwork/kppp/security.docbook | 140 ++++++++++++++++++++++ 1 file changed, 140 insertions(+) create mode 100644 tde-i18n-et/docs/tdenetwork/kppp/security.docbook (limited to 'tde-i18n-et/docs/tdenetwork/kppp/security.docbook') diff --git a/tde-i18n-et/docs/tdenetwork/kppp/security.docbook b/tde-i18n-et/docs/tdenetwork/kppp/security.docbook new file mode 100644 index 00000000000..d3076c037aa --- /dev/null +++ b/tde-i18n-et/docs/tdenetwork/kppp/security.docbook @@ -0,0 +1,140 @@ + +&kppp; ja turvalisus + +See osa on mõeldud peamiselt administraatoritele (root), kõrgendatud turvanõuetega isikutele või ka lihtsalt neile, keda huvitab sügavamalt asja tehniline külg. Kui &Linux; on kasutusel ainult kodus, ei ole erilist vajadust seda osa lugeda, kuigi mõistagi on ka siin paar-kolm asja, mida võiks kõrva taha panna. + + +&kppp; ligipääsu piiramine + +Süsteemiadministraator võib piirata nende isikute arvu, kes saavad &kppp;-d kasutada. Seda saab teha kahel moel. + + +Ligipääsu piiramine grupiõigustega + +Loo uus grupp (näiteks helistajad) ja lisa sinna kõik kasutajad, kes on luba &kppp;-d kasutada. Seejärel anna käsureal korraldus: + +# chown /opt/kde/bin/kppp +# chmod /opt/kde/bin/kppp + + +See eeldab, et &kde; on paigaldatud kataloogi /opt/kde ja et uue grupi nimi on helistajad. + + + + +Ligipääsu piiramine &kppp; vahenditega + +Enne millegi ettevõtmist kontrollib &kppp;, kas on olemas fail /etc/kppp.allow. Kui see on olemas, on ainult selles nimetatud kasutajatel lubatud välja helistada. See fail peab olema kõigile loetav, kuid mõistagi MITTE kirjutatav. Tunnistatakse ainult kasutajanimesid, nii et selles failis pole võimalik kasutada UID-d. Üks väike näide: + +# /etc/kppp.allow +# selliseid kommentaariridu eiratakse, +# nagu ka tühje ridu + +pets +karl +maali + + +Toodud näites on ainult kasutajatel pets, karl ja maali lubatud välja helistada, samuti kõigil kasutajatel, kelle UID on 0 (seega ei pea administraatorit (root) failis eraldi ära märkima). + + + + + + +&kppp; on <acronym +>SUID</acronym +> bitiga? Ja kuhu jääb siis turvalisus? + +Tegelikult on vist võimatu kirjutada sissehelistajat ilma SUID bitita, mis oleks ühtaegu turvaline ega valmistaks kogemusteta kasutajatele ületamatuid raskusi. &kppp; kasutab turvaprobleemide puhul järgmist strateegiat. + + + +Kohe pärast rakenduse käivitamist &kppp; haruneb. + + +Ülemprotsess, mis tegeleb kõigi GUI operatsioonidega (näiteks suhtlemine kasutajaga), loobub pärast harunemist SUID staatusest ja töötab tavaliste kasutaja õigustega. + + +Allutatud protsess säilitab privileegid ning vastutab kõigi tegevuste eest, mis nõuavad administraatori (root) privileege. Et see oleks turvaline, ei kutsuta välja ei &kde; ega &Qt; teeke, vaid esitatakse ainult lihtsaid teegi väljakutseid. Selle protsessi lähtekood on väike (umbes 500 rida) ja väga hästi dokumenteeritud, nii et soovi korral saavad kõik kontrollida, ega selles turvaauke leidu. + + +Ülem- ja allutatud protsess suhtlevad standardse &UNIX; IPC vahendusel. + + + +Selle suurepärase koodijupi kirjutamise eest kuulub eriline tänu Harri Portenile. Me arvasime, et see on võimatu, kuid tema tuli sellega toime vaid nädalaga. + + + + -- cgit v1.2.1