Sljedeći dio Prethodni dio Sadržaj

13. Često postavljana pitanja

  1. Je li sigurnije kompajlirati drajver izravno u kernel umjesto kao modul? Odgovor: Neki misle da je bolje isključiti mogućnost učitavanja podrške za uređaje preko modula jer uljez tako može učitati trojanski modul ili sam učitati modul koji bi utjecao na sigurnost sustava. Međutim, da bi učitali modul, morate biti root. U datoteke modula može pisati također samo root. To znači da je uljezu potreban pristup rootu da bi ubacio modul. Ako uljez dobije pristup rootu, ima puno ozbiljnijih stvari o kojima treba brinuti nego da li će učitati modul. Moduli služe za dinamičko učitavanje podrške za određene uređaje koji se možda rjeđe koriste. Na strojevima koji su poslužitelji ili firewallovi na primjer, to je vrlo nevjerojatno. Iz tih razloga, za poslužitelje kompajliranje izravno u kernel ima više smisla. Također, moduli su sporiji od izravne podrške u kernelu.
  2. Logiranje kao root s udaljenog stroja uvijek je neuspješno. Odgovor: Pročitajte dio o sigurnosti roota. To je učinjeno namjerno kako bi se udaljeni korisnici spriječili u pokušajima spajanja telnetom na vaše računalo kao root, što je ozbiljna sigurnosna rupa. Ne zaboravite, mogući uljezi vrijeme imaju na svojoj strani i mogu automatski tražiti vašu lozinku.
  3. Kako da uključim shadow lozinke na svom Red Hatu 4.2 ili 5.0? Odgovor: Shadow lozinke su mehanizam spremanja vaših lozinki u datoteku koja nije uobičajena /etc/passwd. To ima nekoliko prednosti. Prva je što je shadow datoteka, /etc/shadow, čitljiva samo za roota, za razliku od /etc/passwd, koja mora ostati čitljiva za sve. Druga je prednost što vi kao administrator možete uključiti ili isključiti račune bez da svi znaju stanje računa drugih korisnika. Onda se datoteka /etc/passwd koristi za pohranjivanje imena korisnika i grupa, koje koriste programi kao što je /bin/ls za pretvaranje UID-a u odgovarajuće ime korisnika u sadržaju direktorija. Datoteka /etc/shadow sadrži samo korisničko ime i njegovu lozinku, te možda informacije o računu, kao što je datum njegova istjecanja, itd. Uključiti shadow lozinke možete naredbom pwconv kao root. Trebala bi se pojaviti datoteka /etc/shadow koju bi trebale koristiti i aplikacije. Pošto koristite RH 4.2 ili bolji, PAM moduli će se automatski prilagoditi promjeni korištenja normalne /etc/passwd u shadow lozinke, bez ikakvih drugih promjena. Pošto vas zanima osiguravanje vaših lozinki, možda će vas također zanimati generiranje dobrih lozinki na početku. Za to možete koristiti pam_cracklib modul, dio PAM-a. Vašu lozinku provjerava protiv Crack librarya kako bi vam otkrio da li ju je prelako pogoditi iz programa za razbijanje lozinki.
  4. Kako da uključim Apache SSL proširenja? Odgovor:
    1. Nabavite SSLeay 0.8.0 ili noviji s ftp://ftp.psy.uq.oz.au/pub/Crypto/SSL/.
    2. Kompajlirajte, testirajte i instalirajte ga!
    3. Nabavite izvorni kod Apache 1.2.5.
    4. Nabavite Apache SSLeay proširenja s ftp://ftp.ox.ac.uk/pub/crypto/SSL/apache_1.2.5+ssl_1.13.tar.gz.
    5. Otpakirajte ga u direktoriju s izvornim kodom apache 1.2.5 i zakrpite Apache prema README-u.
    6. Konfigurirajte ga i kompajlirajte.
    Možete pogledati i http://www.replay.com, gdje se nalaze mnogi već kompajlirani paketi, i to izvan SAD-a.
  5. Kako da radim s korisničkim računima, ali zadržim sigurnost? Odgovor: distribucija Red Hat, posebno 5.0, sadrži velik broj alata za mijenjanje svojstava korisničkih računa. Svi ovi programi svjesni su shadowa -- dakle, ako uključite shadow lozinke, koristit će /etc/shadow za informacije o lozinkama, ako ne, neće. Za daljnje informacije pogledajte odgovarajuće man stranice.
  6. Kako mogu određene HTML dokumente zaštititi lozinkom koristeći Apache? Odgovor: Kladim se da niste znali za http://www.apacheweek.com/, ne? Informacije o autentifikaciji korisnika možete naći na http://www.apacheweek.com/features/userauth, kao i druge naputke za sigurnost WWW-a na http://www.apache.org/docs/misc/security_tips.html.

Sljedeći dio Prethodni dio Sadržaj