Re: äänetön
On Sat, Nov 09, 2002 at 05:47:26PM +0200, Martin-Éric Racine wrote:
> On 8 Nov 2002, Jukka Neppius wrote:
> > roottina (olettaen, että tunnus on 'tuija'):
> > adduser tuija audio
> > adduser tuija video
> > adduser tuija cdrom
> > adduser tuija floppy
> Tämäkin on tarpetomasti liian hankkala.
kysymyshän on tietoturvasta. etänä koneessa kiinni oleva käyttäjä voi:
äänikorttiaccessillä:
1) salakuunnella mikrofonia
2) säikytellä käyttjää (okei, tää ei ole kovin vakavaa :)
videoaccessilla:
1) lukea ja kirjoittaa näytöllä. pahimmassa mahdollisessa skenaariossa
käyttä saadaan huijattua kirjoittamaan salasanansa.
2) lukita kone käyttökelvottomaksi lokaalina.
3) rikkoa monitorin (uudemmat monitorit on tosin varsin hyvin suojattu
virhesignaaleilta)
cddrom/floppyaccessillä:
1) lukea ja kirjoittaa korpuille sekä lukea mahdollisesti luottamuksellisia
cd-levyjä. hyökkääjä voisi korvata korpulle tallenetun binäärin
takaportin sisältävään.
2) vahingoittaa korppuasemaa.
antamalla käyttäjälle oikeudet audio/video/cd-käyttöön, voit varmistua
että ne oikeudet on vain niillä jotka sitä todella tarvitsevat.
Windows-maailmasta periytyvää urhataan tietoturva käytön helppouden
alttarille olisi syytä välttää.
adduser on silti vähän turhan hankala käyttää varsinkin isommilla
käyttäjämäärillä. pam_group on toinen vaihtoehto, mutta sitäkään ei
ole otettu defaulttina käyttöön, koska kerran saadun ryhmän oikeudet on
helppo pitää hallussa myöhemminkin..
--
Riku Voipio | riku.voipio@iki.fi |
kirkkonummentie 33 | +358 40 8476974 --+--
02140 Espoo | |
Facts do not cease to exist because they are ignored. |
Reply to:
- Follow-Ups:
- Re: äänetön
- From: Martin-Éric Racine <q-funk@pp.fishpool.fi>
- Re: äänetön
- From: Jaakko Niemi <liiwi@lonesom.pp.fi>
- References:
- Re: äänetön
- From: Jukka Neppius <jkn@softavenue.fi>
- Re: äänetön
- From: Martin-Éric Racine <q-funk@pp.fishpool.fi>