© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Polytropon <freebsd(at)edvax.de> wrote:
> Oliver, erstmal vielen Dank für Deine Erläuterungen, jetzt
> sehe ich einiges auch klarer, weil ich Brücken zu bereits
> bekannten Konzepten, die nur völlig anders heißen, herstellen
> kann.
Ja, viele Konzepte und Paradigmen wurden mehrfach unter
verschiedenen Namen »erfunden«.
Unter Solaris gibt es beispielsweise »execution profiles«
und »roles«; siehe die Manpages profiles(1), roles(1) und
auths(1) auf Solaris-Rechnern oder (wenn kein Solaris zur
Hand) online: http://docs.sun.com/app/docs/coll/40.10
(Solaris 10 bietet auch noch weitergehende Möglichkeiten,
aber das wäre jetzt allmählich total off-topic.)
> > Sich zunächst als user einzuloggen und dann "su -m" zu
> > verwenden (oder meinetwegen sudo, aber ich bin kein Freund
> > davon; stattdessen ziehe ich ggf. »super« vor, siehe
> > ports/security/super), hat eine ganze Reihe von Vorteilen.
> > Bei mir ist »su« sogar ein Alias auf »su -m«, weil ich es
> > nie anders verwende.
>
> Also "super" habe ich mir mal angeschaut, das klingt
> recht interessant - und ist einer näheren Betrachtung wert.
> Da kann man viele feingranulierte Sachen mit machen (siehe
> oben). Guter Tip, danke!
Mir persönlich gefällt auch, dass die Syntax klarer und
weniger kryptisch ist (im Vergleich zu sudo) und somit
auch weniger anfällig für Tipp- und Denkfehler. Gerade
bei einem sicherheitsrelevanten Tool halte ich das für
wichtig.
Aus dem gleichen Grund verwende ich auch lieber maildrop
statt procmail, und ziehe Python gegenüber Perl vor (was
aber auch noch andere Gründe hat), aber ich will jetzt
nicht abschweifen.
> > > Tut mir leid, natürlich meinte ich das Einloggen als root
> > > per telnet-Sitzung, direkt über's Internet, selbstverständlich
> > > mit lokalem Echo des Paßwortes! :-)
> >
> > Eine Bemerkung am Rande: Häufig wird telnet als »böse«
> > hingestellt, dabei kann das unter BSD schon seit Urzeiten
> > Verschlüsselung (seit einiger Zeit ist das sogar Default),
> > mit und ohne Kerberos.
>
> Ach Quatsch, ich meine doch das telnet von "Windows '95",
> das ich wie beschrieben für sicherheitskritische Admin-
> Aufgaben einsetze! :-)
Mir ist natürlich klar, dass das nicht ernst gemeint war.
Aber manchmal kann man auch sowas zum Anlass nehmen, eine
ernsthafte Information rüberzubringen. ;-)
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing b. M. Handelsregister: Registergericht Muenchen, HRA 74606, Geschäftsfuehrung: secnetix Verwaltungsgesellsch. mbH, Handelsregister: Registergericht Mün- chen, HRB 125758, Geschäftsführer: Maik Bachmann, Olaf Erb, Ralf Gebhart FreeBSD-Dienstleistungen, -Produkte und mehr: http://www.secnetix.de/bsd 'Instead of asking why a piece of software is using "1970s technology," start asking why software is ignoring 30 years of accumulated wisdom.' To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 03 Mar 2010 - 15:29:53 CET