тоньше надо троллить

> Я - т.н праймери-админ, второй человек в компании.

Возьмешь на работу? я вообще люблю санки

>> Я - т.н праймери-админ, второй человек в компании.

> Возьмешь на работу? я вообще люблю санки

И будешь там секондари-слейв

> или предсказуемость ключей в ssh,

Это где это такое нашли ? Ах, Debian... :-)

В то время как космические корабли бороздят просторы...

Опять кронтаб! Ну сколько можно!

Хотел поставить - передумал...

А почему? Патчи то уже есть.

Лучше Linux довести до уровня Solaris,

Баги и дыры портировать? Гномы, КДЕ выкинуть, один мотиф с CDE оставить?

> Как Саныч мог так написать про салярку!? =/

Кто-то взломал его аккаунт? :-)

>Кто-то взломал его аккаунт? :-)

Простите...

падаю ниц!

у кого есть эксплоит? как ваще дырку юзать?

> у кого есть эксплоит? как ваще дырку юзать?

Сейчас о ней можно только вспоминать с ностальгией.

rm -rf / в crontab руту )

а лучше cat /dev/urandom > /dev/sda

в соларисовском эквиваленте )

> ну так в убунте тоже нет рута - они просто заблокировали рутовую запись.

sudo passwd

задал пароль и все дела...

Почитал Ынтырпрайз кАменты Ынтырпрайз админов Ынтырпрайз линупса ...

То ли смеяться над кАментами, то ли пожалеть зашоренных кАментаторов...

Хрен тебе, а не второй.

>Я - т.н праймери-админ, второй человек в компании.

Второй, говоришь? А финансовый директор об этом знает? А главбух? Sun-ch, ты вообще никакой человек в компании, ты обслуживающий персонал, вроде уборщицы и водопроводчика. Ты нужен только для того чтобы мог работать директор и его подчинённые, ты денег не приносишь, только тратишь.

>линупса

К логопеду, быдло!

> Sun-ch, ты вообще никакой человек в компании, ты обслуживающий персонал, вроде уборщицы и водопроводчика. Ты нужен только для того чтобы мог работать директор и его подчинённые, ты денег не приносишь, только тратишь.

Зависит от того, чем именно занимается компания. Если каким-нибудь хостингом, то именно саныч и зарабатывает деньги. А вот главбух и прочие _всегда_ их только тратят :D

Есть ли описание, как воспользоваться этой уязвимостью?
меня сомнения берут, что можно руту подсунуть измененый крон.
Очень хоца проверить.
Или это лабораторные исследования?

> Есть ли описание, как воспользоваться этой уязвимостью?

Ты камменты, которые писали до тебя читаешь?

> Сейчас о ней [об этой ошибке] можно только вспоминать с ностальгией.

>>рут единственный пользователь чей логин заранее известен - Дык это. Поправь пару файлего в этс. Рута не будет вообще. Останеццо некий имярек с ид 0. Брутфорсить рута через ссх при грамотном подходе вообще дело гиблое, рутом к нормально настроенной системе удаленно вообще не зайдешь, а в купе с анализатором логов и айпитейблс есть вариант выхватить по корню чисто за логин.

>>Ты не прав. Читай про Role-Based Access Control.

Честная дока для честных людей. Если ты самый главный админ, то поимеешь любой ресурс независимо от ролей. Гемороя токмо поболе. Да названия покрасивше - Энтрерпрайс, однако. Единственная защита от админа - старый добрый калаш.

/etc/cron.d/cron.allow спасет, не? по ссылке не ходил.

>В соляре рута нет вообще, там сто лет уже все обязанности распределяются по ролям, и тотального контроля над системой не имеет никто.

Это типа юмор?

Это типа RBAC. рут конечно есть - но он не всесилен.

В том то и дело, что 'есть'.

San-ch> Я - т.н праймери-админ, второй человек в компании.

т.е. вы с генеральным успели финдиректора уволить?

>В том то и дело, что 'есть'.
>ansi

Скажи честно - "рррр-с0бака" :) не видел. Тот рут - совсем не то :)

Вы неадекватны в этом вопросе, есть в Sun Solaris и GNOME(JDS), и KDE, а CDE, как раз таки хоронят...;)

Пользователя root, адекватные люди конвертируют в роль, я имею ввиду тех людей, которые осилили английский и знают адрес docs.sun.com...:)

А какое оно в Linux, в Linux RBAC вообще используют или просто отключают вместе с SELinux-ом??:)

По умолчанию есть, но при этом в документации чётко написано, что если Вы хотите повысить уровнь безопастности системы, то его желательно сконвертировать в роль, и создать необходимые роли для разделения административных прав, тоесть например роль СисАдмина и Оффицера Безопастности, с разными полномочиями конечно и с разными привелегиями, и так далее...:)

А что не позволит офицеру безопасности создать необходимую ему роль для выполнения определённых действий?

Как что?? Ему просто никто не даст таких привелегий, для этого в Solaris 10 зделали менизм priveleges-ий, которые можно дать роли или пользователю, оффицер безопастности будет иметь привелегии для работы с Audit-ом и связанными с безопастностью вещами, но создавать пользователей или ролей, у него прав может просто не быть...:)

Но у кого-то же они будут? Верно? Так вот этот кто-то может любую нужною ему роль для нужных действий создать. Всё равно будет всегда один человек, который сможет сделать что угодно.

> Но у кого-то же они будут? Верно?

Неверно. Легко сделать так, что один может назначать роли другим, кроме себя, но не может их «авторизовать» и создавать пользователей. Другой может авторизовать роли, но ничего более (в части управления правами), а третий только создавать пользователей с ролью «всё запрещено».

> Всё равно будет всегда один человек

Если надо, не будет. Преимущества RBAC в том, что система /НЕ/ древовидная, поэтому никто не мешает сделать так, чтобы полноценное изменение роли потребовало согласованных действий трёх и более человек. Трудно представить сговор одновременно админа, «безопасника», кадровика, начальника отдела и CIO с целью заведения виртуала для скачивания порнухи.