Титла: Федора 12 и разни странности Публикувано от: gat3way в Nov 19, 2009, 01:18 Много се чудих дали на това мястото му е тук или в секцията за живота и глупостите дето служи за тролване по принцип.
За да не обяснявам аз за какво иде реч, тук е описана една странност свързана с новата федора 12: https://bugzilla.redhat.com/show_bug.cgi?id=534047 Всъщност, това повдига доста интересни въпроси. Първо, според мен това е едно отместване на фокуса от секюрити гледна точка от традиционните общоприети linux механизми (само superuser-а да може да инсталира нов софтуер, там изпълним код и библиотеки) към криптографски механизми. Идеята е че само подписан с частния ключ на федорците софтуер може да бъде инсталиран от не-руутски потребители. Сега аз не съм някакво крипто-гуру, но според мен вероятността някой да изработи RPM пакет и да налучка някаква стойност, която съвпада с SHA1 сумата от пакета криптирана с частния ключ на федорците, е повече от нищожна. За да получиш частния им ключ от публичния трябва да факторизираш едно непосилно голямо число, което е изчислително непосилна задача. Имам предвид с глупости като msieve на commodity хардуер на практика е невъзможно да факторизираш 1024-битов RSA модул, федорците бидейки параноици, сигурно ползват по-голям RSA ключ. Абе на практика, не би трябвало да можеш да инсталираш някакъв твой си зъл backdoor. От друга страна обаче можеш да инсталираш *федорски* подписани пакети. Дали някой от тях не би могъл да бъде някакъв мрежов демон, чиято default-на конфигурация не улеснява придобиването на root-ски права по *лесния* начин? Това е интересен въпрос. И по принцип дали одобрявате такава идея? Честно казано съм доста раздвоен. От сисадминска гледна точка ми се вижда абсолютна идиотщина цялата идея. От друга страна имам поне някаква идея от public-key криптография и знам, че би било относително невъзможно да инсталираш нещо извън официалните подписани федорски репо-та. Забавна работа. Титла: Re: Федора 12 и разни странности Публикувано от: c2h5oh в Nov 19, 2009, 08:33 Първо, според мен това е едно отместване на фокуса от секюрити гледна точка от традиционните общоприети linux механизми (само superuser-а да може да инсталира нов софтуер, там изпълним код и библиотеки) към криптографски механизми.Абсолютно съм съгласен Може да ви звуча консервативно (особено когато се говори за дистрибуция като Fedora) но консервативното поведение на потребителите в системата се възпитава от това което наричаш "традиционни общоприети механизми" Това поведение е основата на системната сигурност. Вярно че от "техническа" гледна точка е възможно и достатъчно сигурно юзъра да инсталира пакети но това е отклонение от изпитаната ортодоксална практика на *nix системите Надявам се това да остане в рамките на експериментите Не бих искал да стане като в *buntu - навсякъде sudo и накрая въпроси във форума - каква е root-ската парола Титла: Re: Федора 12 и разни странности Публикувано от: mishot в Nov 20, 2009, 11:10 Има решение!
Създава се файл в /var/lib/polkit-1/localauthority/20-org.d (името е по избор, стига да завършва с .pkla)) със следното съдържание: [NoUserSignedInstall] Identity=unix-user:* Action=org.freedesktop.packagekit.package-install ResultAny=no ResultInactive=no ResultActive=auth_admin |