1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
|
<?xml version="1.0" ?>
<!DOCTYPE book PUBLIC "-//KDE//DTD DocBook XML V4.2-Based Variant V1.1//EN"
"dtd/kdex.dtd" [
<!ENTITY kappname "&tdesu;">
<!ENTITY package "tdebase">
<!ENTITY % addindex "IGNORE">
<!ENTITY % Estonian "INCLUDE"> <!-- change language only here -->
]>
<book lang="&language;">
<bookinfo>
<title>&tdesu; käsiraamat</title>
<authorgroup>
<author>&Geert.Jansen; &Geert.Jansen.mail;</author>
<othercredit role="translator"><firstname>Marek</firstname><surname>Laane</surname><affiliation><address><email>bald@starman.ee</email></address></affiliation><contrib>Tõlge eesti keelde</contrib></othercredit>
</authorgroup>
<copyright>
<year>2000</year>
<holder>&Geert.Jansen;</holder>
</copyright>
<legalnotice>&FDLNotice;</legalnotice>
<date>2005-06-07</date>
<releaseinfo>1.00.00</releaseinfo>
<abstract><para>&tdesu; on &UNIX; käsu <command>su</command> graafiline kasutajaliides.</para></abstract>
<keywordset>
<keyword>KDE</keyword>
<keyword>su</keyword>
<keyword>parool</keyword>
<keyword>administraator</keyword>
</keywordset>
</bookinfo>
<chapter id="introduction">
<title>Sissejuhatus</title>
<para>Tere tulemast kasutama &tdesu;'d! &tdesu; on &UNIX; käsu <command>su</command> graafiline kasutajaliides KDE töölaua keskkonnas.See võimaldab käivitada rakendusi teise kasutajana, andes vastava kasutaja parooli. &tdesu; on privileegideta rakendus, see kasutab süsteemi käsku <command>su</command>.</para>
<para>&tdesu;'l on aga üks lisavõimalus: ta võib parooli sinu eest meeles pidada. Seda võimalust kasutades tuleb parool sisestada ainult üks kord. Sellest räägib lähemalt <xref linkend="sec-password-keeping"/>, kus on ka hinnatud selle turvalisust.</para>
<para>Rakendust saab käivitada käsurealt või <filename>.desktop</filename>-faile avades. Kuigi see pärib administraatori (<systemitem class="username">root</systemitem>) parooli &GUI; dialoogis, pean ma ise seda rohkem käsurea <-> &GUI; seguks kui puhtaks &GUI; rakenduseks.</para>
</chapter>
<chapter id="using-tdesu">
<title>&tdesu; kasutamine</title>
<para>tdesu; kasutamine on väga lihtne. Süntaks näeb välja selline:</para>
<cmdsynopsis><command>tdesu</command> <group choice="opt"><option>-c</option></group> <group choice="opt"><option>-d</option></group> <group choice="opt"><option>-f</option> <replaceable> fail</replaceable></group> <group choice="opt"><option>-i</option> <replaceable> ikooni nimi</replaceable></group> <group choice="opt"><option>-n</option></group> <group choice="opt"><option>-p</option> <replaceable> prioriteet</replaceable></group> <group choice="opt"><option>-r</option></group> <group choice="opt"><option>-s</option></group> <group choice="opt"><option>-t</option></group> <group choice="opt"><option>-u</option> <replaceable> kasutaja</replaceable></group> <group choice="opt"><option>--nonewdcop</option></group> <group><arg choice="req"><replaceable>käsk</replaceable> <arg><replaceable>arg1</replaceable></arg> <arg><replaceable>arg2</replaceable></arg> <arg rep="repeat"><replaceable></replaceable></arg></arg></group> </cmdsynopsis>
<cmdsynopsis><command>tdesu</command> <arg choice="opt">&kde; üldised võtmed</arg> <arg choice="opt">Qt üldised võtmed</arg> </cmdsynopsis>
<para>Käsurea võtmeid selgitatakse allpool.</para>
<variablelist>
<varlistentry>
<term><option>-c <replaceable>programm</replaceable></option></term>
<listitem><para>Määrab rakenduse käivitama administraatori õigustes. See tuleb anda ühe argumendina. Kui näiteks soovid käivitada uut failihaldurit, tuleb käsureale kirjutada <userinput><command>tdesu <option>-c <replaceable>kfm -sw</replaceable></option></command></userinput></para></listitem>
</varlistentry>
<varlistentry>
<term><option>-d</option></term>
<listitem><para>Näitab silumisinfot.</para></listitem>
</varlistentry>
<varlistentry>
<term><option>-f <replaceable>fail</replaceable></option></term>
<listitem><para>Võimaldab kasutada &tdesu;'d tõhusalt <filename>.desktop</filename>-failide puhul, käskides &tdesu;'l uurida faili, mille nimi on antud parameetriga <parameter>fail</parameter>. Kui käsuandjal on sellel failil kirjutamisõigus, käivitab &tdesu; faili kasutaja õigustes. Kui aga mitte, käivitatakse käsk kasutajana <parameter>kasutaja</parameter> (vaikimisi administraator).</para>
<para>Parameetrit <parameter>fail</parameter> hinnatakse järgmiselt: kui <parameter>fail</parameter> algab märgiga <literal>/</literal>, on see absoluutne failinimi. Muul juhul peetakse seda &kde; globaalse seadistustefaili nimeks. Näiteks KDE kuvahalduri <application>tdm</application> seadistamiseks tuleb anda käsk <command>tdesu <option>-c tdmconfig -f tdmrc</option></command></para></listitem>
</varlistentry>
<varlistentry>
<term><option>-i</option> <replaceable>ikooni nimi</replaceable></term>
<listitem><para>Määrab paroolidialoogis kasutatava ikooni nime. Määrata võib ka ainult nime, ilma faililaiendita.</para>
<para>Näiteks <command>kfmclient</command> käivitamiseks ja &konqueror;i ikooni näitamiseks paroolidialoogis:</para>
<screen><userinput><command>tdesu</command> <option>-i konqueror</option> <command>kfmclient</command></userinput></screen>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-n</option></term>
<listitem><para>Parooli ei säilitata. See muudab märkekasti <guilabel>parool jäetakse meelde</guilabel> mittekasutatavaks.</para></listitem>
</varlistentry>
<varlistentry>
<term><option>-p</option> <replaceable>prioriteet</replaceable></term>
<listitem>
<para>Määrab prioriteedi. Prioriteet on suvaline arv vahemikus 0 kuni 100, kusjuures 100 tähendab kõrgeimat ja 0 madalaimat prioriteeti. Vaikeväärtus on 50.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-r</option></term>
<listitem><para>Reaalaja planeerija kasutamine.</para>
</listitem>
</varlistentry>
<varlistentry>
<term><option>-s</option></term>
<listitem><para>Peatab tdesu deemoni. Lähemalt räägib sellest <xref linkend="sec-password-keeping"/>.</para></listitem>
</varlistentry>
<varlistentry>
<term><option>-t</option></term>
<listitem><para>Võimaldab terminaliväljundi ning tühistab parooli säilitamise võimaluse. See on peamiselt mõeldud silumiseks, kui soovid käivitada konsoolirežiimis rakendust, kasuta parem tavapärast <command>su</command> käsku.</para> </listitem>
</varlistentry>
<varlistentry>
<term><option>-u</option> <replaceable> kasutaja</replaceable></term>
<listitem><para>Kuigi &tdesu; kõige levinum tarvitamine on käsu käivitamine administraatori õigustes, võib määrata suvalise kasutajanime ja vastava parooli.</para>
</listitem>
</varlistentry>
</variablelist>
</chapter>
<chapter id="Internals">
<title>Siseelu</title>
<sect1 id="x-authentication">
<title>X'i autentimine</title>
<para>Käivitatav rakendus töötab administraatori ID-ga ning üldiselt ei ole sel ligipääsuõigust X'ile. &tdesu; saab sellest aga üle, lisades autentimisküpsise ajutisele <filename>.Xauthority</filename>-failile. Käsu lõppemisega fail kustutatakse. </para>
<para>Kui sa X'i küpsiseid ei kasuta, ei ole midagi teha. &tdesu; avastab selle ega lisa küpsist, aga siis pead ise tagama, et administraatoril oleks ligipääs X'i seansile.</para>
</sect1>
<sect1 id="interface-to-su">
<title><command>su</command> liides</title>
<para>&tdesu; kasutab privileegide hankimiseks süsteemi <command>su</command> käsku. Siin seletan lähemalt, kuidas &tdesu; seda teeb. </para>
<para>Kuna mõned <command>su</command> versioonid (&ie; seesamune &RedHat; oma) ei taha parooli lugeda <literal>stdin</literal>-ist, loob &tdesu; pty/tty paari ning käivitab <command>su</command> standardsete tty-ga seotud failikirjendajatega.</para>
<para>Kasutaja antud käsu käivitamiseks kasutab &tdesu; <command>su</command> juures võtit <option>-c</option>. Seda argumenti tunnistavad kõik shellid, mida ma vähegi tean, nii et see peaks kõikjal toimima. <command>su</command> edastab argumendi <option>-c</option> sihtshellile ning see käivitab rakenduse. Näide: <command>su <option>root -c<replaceable>rakendus</replaceable></option></command>.</para>
<para>Selle asemel, et käivitada kasutaja antud käsk vahetult <command>su</command>-ga, käivitab &tdesu; väikese tüverakenduse nimetusega <application>tdesu_stub</application>. See tüvi (töötab sihtkasutajana) nõuab &tdesu;lt mõningat infot pty/tty kanali kaudu (tüve stdin ja stdout) ning käivitab siis kasutaja rakenduse. Saadetavaks infoks on: X'i seanss, X'i autentimisküpsis (kui on olemas), muutuja <envar>PATH</envar> ja käivitatav käsk. Tüve kasutamise põhjuseks on see, et X'i küpsis kujutab endast varjatud infot, mida ei saa edastada käsureal.</para>
</sect1>
<sect1 id="password-checking">
<title>Parooli kontroll</title>
<para>&tdesu; kontrollib sisestatud parooli ning annab veateate, kui see pole korrektne. Kontrollimiseks käivitatakse testprogramm: <filename>/bin/true</filename>. Kui see õnnestub, peetakse parooli õigeks.</para>
</sect1>
<sect1 id="sec-password-keeping">
<title>Parooli meeldejätmine</title>
<para>Puhtalt kasutaja mugavuse huvides kasutab &tdesu; võimalust <quote>parool jäetakse meelde</quote>. Kui sulle on aga oluline turvalisus, peaksid selle osa hoolikalt läbi lugema.</para>
<para>Luba &tdesu;'l parooli säilitada avab (kuigi väikese) turvaaugu sinu süsteemis. On selge, et &tdesu; lubab paroole kasutada ainult sinu kasutaja-ID-ga, kuid kui siin ettevaatlikkust ei ilmutata, võrdsustab see administraatori (<systemitem class="username">root</systemitem>) turvataseme tavakasutaja omaga. Sinu kontole sisse murdev häkker saab sel moel muidu <systemitem class="username">administraator</systemitem>ile lubatud õigused. &tdesu; püüab seda vältida. Kasutatav turvaskeem on vähemalt minu hinnangul mõistuse piires turvaline.</para>
<para>&tdesu; kasutab deemonit nimetusega <application>tdesud</application>. See deemon uurib &UNIX; soklit <filename>/tmp</filename>-s käskude saamiseks. Sokli režiim on 0600, nii et sellega saab ühendust ainult kasutaja ID-ga. Kui parooli meeldejätmine on lubatud, käivitab &tdesu; käsud deemoni kaudu. See kirjutab käsu ja <systemitem class="username">administraator</systemitem>i parooli soklile ning deemon käivitab käsu <command>su</command> abil, nagu eespool kirjeldatud. Seejärel ei kustutata kohe käsku ja parooli, vaid need hoitakse teatud aeg alles. See ongi seadistusmoodulis määratav aegumisväärtus. Kui selle jooksul saabub sama käsk uuesti, ei ole kliendil vaja parooli uuesti sisestada. Häkkerite eemalhoidmiseks, kes võivad sinu kontole sisse murda ja deemonilt paroole varastada (näiteks seda silujaga ühendades), on deemon loonud set-group-id nogroup'i. See peaks takistama kõigil tavakasutajatel (ka sinul endal) hankimast paroole <application>tdesud</application> protsessilt. Deemon määrab ka keskkonnamuutuja <envar>DISPLAY</envar> väärtuseks käivitusaegse väärtuse. Sellisel juhul on ainus asi, mida häkker saab teha, rakenduse käivitamine sinu seansis.</para>
<para>Selle skeemi nõrgaks kohaks on asjalu, et rakendused, mida sa käivitad, et ole tõenäoliselt loodud turvalisust silmas pidades (nagu setuid <systemitem class="username">root</systemitem> rakendused). See tähendab, et neil võib esineda puhvri ületäide või muid probleeme, mida häkkerid saavad ära kasutada.</para>
<para>Parooli meeldejätmise võimalus on kompromiss turvalisuse ja mugavuse vahel. Soovitan väga tungivalt sellele mõelda ja ise otsustada, kas seda kasutada või mitte.</para>
</sect1>
</chapter>
<chapter id="Author">
<title>Autor</title>
<para>&tdesu;</para>
<para>Autoriõigus 2000: &Geert.Jansen;</para>
<para>&tdesu; kirjutas &Geert.Jansen;. Selle aluseks on mõneti Pietro Iglio &tdesu; versioon 0.3, Me leppisime Pietroga kokku, et edaspidi olen selle hooldaja mina.</para>
<para>Autoriga saab ühendust võtta meilitsi: &Geert.Jansen.mail;. Palun anna mulle teada kõigist leitud vigadest, et saaksin need ära parandada. Aga kirjuta ka siis, kui sul on hea mõte, kuidas midagi võiks paremaks muuta.</para>
&underFDL; &underArtisticLicense; </chapter>
</book>
|