[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Opciones de seguridad en servidor

Hilario Ortigosa - Octanio Sistemas informático s wrote:
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> El 27/11/2007, a las 8:13, Fernando escribió:
> >>>
> >> No es lo mismo que un administrador de oracle con privilegios del
> >> root
> >> te ejecute un rm -rf ./* que con la papa que pillo el domingo
> >> llegue el
> >> lunes a currar dormio y se le olvide ejecutar el . y pongo rm -rf /*
> >>
> >> Después, quien tiene que solucionar el problema, él o yo? De quien
> >> es la
> >> responsabilidad del server?
> >>
> >> A las personas, si le das la mano te cojen el brazo. Hay que
> >> limitar el
> >> acceso y el poco acceso que haya debe estár monitorizado.
> >
> > Creo que no estás hablando de lo mismo.
> > Aqui había alguien que quería limitar a los usuarios normales el uso
> > de
> > programas permitiendo solo el acceso a los que él quisiera.
> > Si te dan una cuenta de root por supuesto que puedes borrarlo todo.
> > Con un usuario normal y si no hay dejadez del administrador, lo mas
> > que
> > puede hacer es cargarse sus ficheros y los del grupo al que le des
> > acceso.
> 
> Y cargar recursos de la máquina si no aplicas ulimit, y colapsar el
> mysql con consultas gigantescas, y producir un cuello de botella en
> disco por (por poner un ejemplo) búsquedas mastodónticas con find, y
> poner un programa a escuchar en un puerto alto 'por experimentar'....
> 
> Hay que permitir que todos realicen su trabajo, pero intentando
> ajustar los límites en los que se pueden mover. Todo depende de
> prioridad de la máquina y de los datos que almacena/sirve; si esto lo
> justifica, pues limitar los programas que se pueden utilizar puede ser
> buena idea.
> 
> Todo, como siempre, depende del escenario.
> 
> Un saludo.
> 
> Hilario Ortigosa Monteoliva
> Octanio Sistemas informáticos
> hilario@octanio.es
> 

Por supuesto que cualquiera que tenga una cuenta shell puede hacer
"daño"
pero sabe que ese daño es detectable y se cuidará mucho de hacerlo.
Es posible hacer daño como dices con un find, pero con un ps sé quien es
el graciosillo. La base de datos gestiona sus usuarios, así que ahí no
veo problema. Un simple ping puede saturar una red local...

Estamos de acuerdo en ello, hay que permitir que la gente trabaje, pero
sin imposiciones innecesarias como comentaba en el hilo. No hay razón
por ejemplo para solo permitir el vi, pudiéndose usar otros editores a 
preferencia de cada uno...

Los comandos importantes solo root puede ejecutarlos.

Mi comentarío iba en el sentido de tolerancia, veo mucho "fascismo" en
algunos "administradores" o aspirantes a serlo.

Creo que se puede cerrar ya este hilo.


Saludos.



-- 
Fernando.
{:-{D>

   "Hackers do it with fewer instructions."
Reply to: