Linux за българи: Форуми

Има ли стандартен начин да се забрани на който и да е юзър ( дори и root ) да си променя паролата? Казвам стандартен, защото чрез специални флагове мога да направя master.passwd да не може да се променя, но това няма ли да навреди на системата? И ако единственият начин за тази забрана е чрез флаговете, кои файлове трябва да забраня да се модифицират - passwd, master.passwd... и безопастно ли е за работата на системата?

Промяната би трябвало да се отнася само до master.passwd, като забраниш да се пише в него (-w). По този начин, обаче, няма да може да правиш акаунти на нови потребители, освен ако не си направиш скрипт, който да дава права за писане на master.passwd, да прави новия акаунт и след това отново да премахва правата за писане на master.passwd.
Само това ми хрумва за сега. По всяка вероятност има и по-елегантни начини, но не ги знам, понеже не ми се е налагало да решавам подобен проблем.
Успех!
:)

Чрез премахване на w правото на  master.passwd все пак остава вероятността този, който ти компрометира системата да си прибави w право и да смени паролата на root. Идеята ми е да не може да се прибавят юзъри или да се променят пароли в стандартен режим ( securelevel 1 ). Тоест добре настроена система да се запечата и да не може да се променя... само въпросът ми е за да не може да се правят тези действия, кои файлове трябва да запечатам? Само master.passwd ли?

"Чрез премахване на w правото на  master.passwd все пак остава вероятността този, който ти компрометира системата да си прибави w право и да смени паролата на root." - Ако знае с коя команда.
Смени chmod : #mv /bin/chmod /bin/"ново име"    -новото име да не е свързано с права и да не е на съшествуваща команда.Може и пътя да смениш /usr/sbin -примерно.
По този начин няма да може да сменя правата с chmod, но ще объркаш и системата при update примерно (тогава ще трябва да връщаш старото име на командата).

ЕДВА ЛИ човек влезнал в OS-a ти ще променя паролата на root. Така ти ще разбереш "веднага", ще смениш паролата и "престоя му ще свърши бързо "

Аз също мисля като GoodT. Смяна на root-парола не помага, а по-скоро вреди на компрометиращия. Идеята със смяна на името на chmod не ми беше хрумнала, но я намирам също доста находчива. Иначе да - подсигуряването на master.passwd е това, което би ти помогнало.
Успех!
:)

Да, GoodT има право, но ако аз не ползвам root често, а вместо това съм си sudo-нал отделен юзър, то тогава дали скоро ще разбера какво става с root паролата? Иначе след заключване на master.passwd с schg флаг вече не мога да създавам юзъри или да променям пароли... това което исках  

sudo примерно за `stat -x /etc/master.passwd` би ти дало възможност да следиш промените в master.passwd. Можеш да grep-ваш output-a и да правиш сравнения на времената, като в случай на разлика (с последния "modification time", когати ти си направил промяна) да му кажеш да пищи. Или cron-нат diff между актуалния и един backup-нат master.passwd. Нещо от сорта.. :)
Успех!
:)

Да, има много варианти за следене на промяна в master.passwd... дори и със софтуеър от трето лице... но какво ме озадачава в момента: След локване на master.passwd все още мога да променям паролите ( не мога да създавам юзъри обаче ). След опит за промяна на парола излиза

Примерен код

pwd_mkdb: /etc/ptmp to /etc/master.passwd: Operation not permitted passwd: /etc/master.passwd: unchanged

но въпреки това вече важи новата парола... не съм пробвал след рестарт дали ще е така. Но дори и след рестарт да си пази старата парола, то в текущия логин все пак паролата да се променя... някакви идеи защо става така и евентуално какво да забраня още?

Само мнение - тоя трик с преименуването на chmod ми звучи малко тип 'security through obscurity', което пък не ме радва. Ако искаш системата да е наистина 'заключена', може би трябва да погледнеш какво е положението със securelevel 2.

Ами Наркос как ще смениш паролата на root, ако passwd я "няма" и /etc/passwd и /etc/master.passwd са "заключени"?
Как ще създадеш user, ако adduser я "няма"?
Не виждам нищо лошо в това (дори мисля, че е решение):
#mv /usr/bin/passwd /usr/bin/xxx
#mv /usr/sbin/adduser /usr/sbin/yyy
#mv /bin/chflags /usr/bin/zzz
#mv /bin/chmod /usr/bin/rrr
Може и да си направи скрипт, който да ги сменя и друг да ги връща когато трябва.
Може и аз да съм се издухал обаче гореописаното работи.

Абе то че работи - работи. То ако става на въпрос - може изобщо да ги изтриеш и при нужда да ги пускаш от дискета. :)

А добре, ако някой компрометира системата и придобие root права и системата е в securelevel 1 - какъв проблем ще има този човек да си дръпне и инсталира, че дори да си компилира chmod, passwd и каквото още трябва там?

Плюс това трябва да се махнат всички интерпретеруиеми езици - повечето работят директно с глибц и могат да правят тия неща. Ако системата ти не е заключена на ниво кернел си наникаде

Въпросът с скриването на chmod е, че на атакуващия ще му трябва повече време да открие какво аджеба става, защо няма passwd, да си го дръпне и компилира, или да го ъплоудне направо компилиран, но това ще  отнеме време и вероятността да бъде засечен е по-голяма... колкото до securelevel 2, и при него успявам да сменя паролата при заключен master.passwd... трябва да прочета как протича целия процес при смяна на парола и то подробно, но досега из доста книги се рових и не намирам нищо по въпроса...

Е то принципно го казаха това хората, ама все пак - ако някой ти компрометира системата е много малко вероятно да ти смени паролата. Така моментално ще се усетиш какво става и имайки физически достъп до машината ще заредиш в single mode, ще си сложиш нова парола и така, така че въпросния тип няма изгода да сменя паролата.

Много по-вероятно е да инсталира patch-ната версия на OpenSSH или нещо от тоя род.

Мда, като изключим, че можеш да заредиш от инсталационно или някакво друго rescue CD, да си монтираш дяла и да си смениш паролата....

ДА! За влезнал в системата root ограничения няма. Идеята ми беше да се пообърка момъка(момата)
Трябва да помислиш за предотвратяването на самото влизане на "случаен" root. Сам трябва да решиш как - добрата защита за едни не върши работа за други.
Разумните хора си правят backup на конфигурационните файлове, на данните, дори и на целите системи, за да може (когато се усетят) по най-бързия начин да я възстановят на 100%.

Лапешка работа като сам физически там не можеш ме спря ... ще ти отовря с флекса кутията ще ти ресетна биоса и влизааааам с лайв CD-то да оправям пермишани да ресетвам пароли и да оправям глупостите които някой е направил ... след това опит за нормален бооот и повтаряме цикала при неуспех. Единствения проблем може да има ако се ползва криптиран дял за който не знам паролата ... ма това няма да ми попречи да възстановя системата до боот да затрия криптирания дял да го ползвам некрептиран. Но налли все пак аз сам собственика на системата би трябвало да си знам паролите/ключовете

Да, да, и един мармот...