BBS水木清华站∶精华区

发信人: SoC.bbs@bbs.cs.nthu.edu.tw (牵线人), 看板: Plan
标  题: Re: 谈谈系统安全
发信站: 清华资讯系学会(枫桥驿站) (Wed Oct  2 23:47:11 1996)
转信站: sob!news.cs.nthu!maple

最後来谈谈最根本的问题 -- 管理者本身.

攘外安内的大业都有迹可寻, 主要就是要阻绝一般使用者
能取得 root 权限的机会. 然而, root 本身正是以 root
权限在进行大大小小的工作, 也因此燃起了有心者的一线
希望 -- 木马屠城.

有些 root 不知何种原因, "." 会出现在 path 的最前端,
如此虽可以方便的执行目前目录所在的程式, 却也造就了
有心者的最佳环境. 只要一不小心在 world writeable 的
目录下, 就有可能误触地雷.

在运气不佳的情况下, 如果 root 选用某个程式来当 root
的工具(如: 用 pine 读信/看news), 而该程式又有 security
上的问题时, root 也会在不知不觉中和他人分享 root 权限.
例如, 使用 v3.95 以前的 pine, 设定不当的 Xwindows..等.

其实以 root 权限去执行工作, 不用被入侵, 只要一不小心失
手, 就有可能会造成千古恨. 所以, 除非必要, 仅量不要用
root 的身份在机器上□逛. 古有明训 -- 树大招风.

"人外有人, 天外有天" security 是一门永远修不完的课程,
在未完成全文前, sendmail 已经 release 8.8.x 了, FreeBSD
sendmail-8.6.x 的 crack 方法也已经公开了, tcp-wrapper
是必备的行头, 却也不是万灵丹, security 的防护是要作功
课的, 消息(资讯)灵通与否, 也决定著系统的安全性.

要去那里找有关 security 的资讯呢 ??

        嗯, 这是系统安全的第一个 homework.

说个小故事当作全文的收尾好了:

一天深夜, Marfada学长途然问我, "xx英文怎麽写 ??", 咦 ??
学长在忙什麽呢 ?? 一看, 原来是和某个外国朋友用力的在 talk,
我问道: "那是谁啊 ?? " 答: "不知道, 是 xxx总公司的工程师",
"找学长talk作啥??" "喔, 问我那个目录搬到那里去了" "啊 ??
他怎知道我们那理有好东东 ??" "呜...被人家给xxxxx了" "不
会吧, 我们不是用 tcp-wrapper 挡掉所有的 connection 了吗 ??"
"对呀, 可是我们留下一个後们, 他从那里进来的." "那他怎知道
我们後门在那里??" "後们那部机器也被 xxxxx 了, 然後, 他观
察了一个星期, 看看有那些帐号的人从那部机器连往我们的机器"
"那他怎麽进来的 ??" "我们有人设了一个 .rhost 接受那部机器,
然後他 su xxx, 再 rlogin yyy, 就进来了." "那他怎知道我们
这里有好东东 ??" "原先他也不知道啊, 进来逛到才知道的, 他
已经 *进出* 我们这里很多次了" "哇...那其他学校不就 .. ??"
"唉..我们还算好的, 花了他近一个星期的时间, 大部的机器他花
几分钟就摆平了, 他还说台湾学校真的很有钱, 用的机器都不错".

隔天, 白板上几个斗大的字, "不要使用 .rhost !!!"

全文完.

--
※ Origin: 枫桥驿站(bbs.cs.nthu.edu.tw) ◆ From: alpha4