Re: Login a SSH come root [Was: Re: [ml] RootKitHunter]

On 11/22/05, Marco d'Itri <md@xxxxxxxx> wrote:
[...]
> > Personalmente mi sembra sconsigliabile farlo come root. IMHO non
> > dovresti MAI usare root per queste cose. Perché lo fai? :-) Non ne hai
> > motivo. A meno che tu non abbia qualche demone che gira come root...
> > dovrebbero essere una minoranza... e comunque è qualcosa che è prono
> > all'errore...
> Assegnare password e/o chiavi a ogni account usato da ogni demone non è
> una soluzione pratica (e nemmeno sicura, visto che la sicurezza
> diminuisce con l'aumentare della complessità), quindi l'accesso come
> root rimane l'unica alternativa praticabile in queste situazioni.
[...]

Mi spiace ancora non essere d'accordo...

Quella della distribuzione delle chiavi è sicuramente una pratica
problematica come tutti possiamo ben immaginare, ma non significa che
non sia necessaria e non sia praticata.

Esistono svariati sistemi di distribuzione di chiavi agli account ed
ancora più implementazioni di questi sistemi; è una pratica che ha
tutta una sua branca dell'informatica (chiamata Key Management
Activities) e viene fatta tutti i giorni continuamente. Esistono
sistemi basati su Kerberos, LDAP, SESAME, ISAKMP, IKE, e persino
metodi di crittazione appositamente studiati per essere efficienti
allo scopo (come l'Elliptic Curve Cryptosystem o il CBC-MAC).

Per esempio, nella mia azienda usiamo l'Identity Manager di Sun per
aggiornare le chiavi SSH di tutti gli utenti su tutti i server (che
sono centinaia... se dovessi aggiornarli tutti in una volta,
diventeremmo pazzi, specialmente quelli che come me hanno necessità di
accesso in scrittura su tutti i sistemi). Ma ovviamente questo serve a
farci accedere con certi particolari utenti (es. apache, jboss, oracle
ecc...). Gli unici ad accedere come root sono i sistemisti "di basso
livello" che smanettano con dischi, sistema operativo ecc. ecc. noi
possiamo usare tutti i comandi che ci servono (snoop, netstat, lsof,
kill ecc.) solo tramite sudo.

Ovviamente è solo un punto di vista...boh, che dire, spero che possa
essere utile o interessante per voi conoscerlo :-P


Cordiali saluti.
--
Marco Ermini
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
(This message is for the designated recipient only and may contain
privileged or confidential information. If you have received it in
error, please notify the sender immediately and delete the original.)