アカウント名:
パスワード:
そもそも interface にラベル付けて、WAN 側からのパケットでは newrole できないように設定するとかしたら、とりあえずは外部からは防げますよね。
さすがに console からだけとかだとアレですが、内部管理用マシンからシリアルコンソールに繋いで、そこから以外は newrole させないという手もありますか。
そんなレベルで権限昇格できるようであれば強制アクセス制御になりません。
# これ以上は何を書いても罵倒にしかならないので省略。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
rootのいない管理方式って、、、 (スコア:1)
そのユーザのログインシェルが、mkdirしか実行できなかったりする?
Re:rootのいない管理方式って、、、 (スコア:1)
rootのパスワードがばれていたら意味ないですが。
# newrole -r sysadm_r ができてしまう為。
---にょろ~ん
Re:rootのいない管理方式って、、、 (スコア:1)
そもそも interface にラベル付けて、WAN 側からのパケットでは newrole できないように設定するとかしたら、とりあえずは外部からは防げますよね。
さすがに console からだけとかだとアレですが、内部管理用マシンからシリアルコンソールに繋いで、そこから以外は newrole させないという手もありますか。
Re:rootのいない管理方式って、、、 (スコア:1)
root の他に 一般ユーザID(foo) があれば,
- foo で外部からログインする.
- telnet localhost で,再度 foo でログインする.
- su で root になる.
で,外部から攻撃可能になりませんか?
Re:rootのいない管理方式って、、、 (スコア:1)
そんなレベルで権限昇格できるようであれば強制アクセス制御になりません。
# これ以上は何を書いても罵倒にしかならないので省略。
Re:rootのいない管理方式って、、、 (スコア:0)
企業相手のSI屋さんとかなら、もうすこしガンガってほしい。
そして、SELinuxくらいならトレーニング受けなくても大丈夫だよ。
どうせトレーニング行っても操作方法しかおしえてくれないから。
Re:rootのいない管理方式って、、、 (スコア:1)
そういうことにはなりませんがな。
Re:rootのいない管理方式って、、、 (スコア:1)
sshdからの遷移でsysadm_tに行けないようにするというような設定ができますね。
ドメイン遷移の設定が面倒なら、ネットワークログインであることを
示すロールを作って、sysadm_rに行けないようにするとか。
まぁ、がんがってください。