[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: äänetön



On Sat, Nov 09, 2002 at 05:47:26PM +0200, Martin-Éric Racine wrote:
> On 8 Nov 2002, Jukka Neppius wrote:
> > roottina (olettaen, että tunnus on 'tuija'):
> > adduser tuija audio
> > adduser tuija video
> > adduser tuija cdrom
> > adduser tuija floppy
 
> Tämäkin on tarpetomasti liian hankkala. 

kysymyshän on tietoturvasta. etänä koneessa kiinni oleva käyttäjä voi:

äänikorttiaccessillä:

1) salakuunnella mikrofonia
2) säikytellä käyttjää (okei, tää ei ole kovin vakavaa :)

videoaccessilla:

1) lukea ja kirjoittaa näytöllä. pahimmassa mahdollisessa skenaariossa
   käyttä saadaan huijattua kirjoittamaan salasanansa.
2) lukita kone käyttökelvottomaksi lokaalina.
3) rikkoa monitorin (uudemmat monitorit on tosin varsin hyvin suojattu
   virhesignaaleilta)

cddrom/floppyaccessillä:

1) lukea ja kirjoittaa korpuille sekä lukea mahdollisesti luottamuksellisia
   cd-levyjä. hyökkääjä voisi korvata korpulle tallenetun binäärin
   takaportin sisältävään.
2) vahingoittaa korppuasemaa.

antamalla käyttäjälle oikeudet audio/video/cd-käyttöön, voit varmistua
että ne oikeudet on vain niillä jotka sitä todella tarvitsevat.
Windows-maailmasta periytyvää urhataan tietoturva käytön helppouden
alttarille olisi syytä välttää.

adduser on silti vähän turhan hankala käyttää varsinkin isommilla
käyttäjämäärillä. pam_group on toinen vaihtoehto, mutta sitäkään ei
ole otettu defaulttina käyttöön, koska kerran saadun ryhmän oikeudet on
helppo pitää hallussa myöhemminkin..

-- 
Riku Voipio  	       |    riku.voipio@iki.fi         |
kirkkonummentie 33     |    +358 40 8476974          --+--
02140 Espoo            |                               |
Facts do not cease to exist because they are ignored.  |



Reply to: