Новеловский клиент в suse - дыра в безопасности?

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Новеловский клиент в suse - дыра в безопасности?

Сообщение Сергей Дубров » 21 янв 2010, 13:36

Имею: установленный Novell Client 2.0 SP2 на OpenSUSE 11.2.

Проблема: захожу под обычным пользователем в систему (user), в его сессии с помощью новеловского клиента подключаюсь к NW6.5/5.1-серверам с именем nwuser. Получаю буквы-линки (аля диски) в домашнем каталоге user-а. После чего, переключившись в локальной машине в root-а, имею возможность зайти под ним в домашний каталог user-а (правильно), а дальше могу перейти в смонтированные в его домашний каталог сетевые буквы-линки (неправильно!) Т.е., локальный админ имеет возможность зайти в чужие сетевые каталоги! Это есть очень нехорошо.

В аналогичной ситуации на терминальном вендовом сервере локальный админ чужих сетевых каталогов (дисков) вообще не видит. Вот это поведение совершенно правильное - ты локальный админ на сервере, и чужие удалённые ресурсы тебе не должны быть доступны, в принципе.

Я понимаю, это сказывается идеология никса, такая у него модель безопасности, точно такая же ситуация и с доступом к ресурсам, смонтированным по самбе. Поэтому сабж у меня не совсем корректный. Но как-то неуютненько...
Аватара пользователя
Сергей Дубров
 
Сообщения: 2073
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Dimerson » 21 янв 2010, 14:28

маленько не в тему но добавлю что различие в модели безопасности так же вызывает некоторые проблемы в приживлении Pervasive SQL к NSS.

Имхо даже если юзеров Linux LUM'пенизировать - древовидный eDir тяжело накладывать на плоскую структуру passwd/group.
Аватара пользователя
Dimerson
 
Сообщения: 2751
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Сообщение Бурылов Александр » 21 янв 2010, 22:27

А что при смене пользователя Linux , сессия не сбрасывается что ли???
я так понимаю user вышел, зашёл root... (в выни это же происходит, а потом поновой регистрация Novell)
правда если под user были ещё и подняты привелегий root , то и в винде тоже самой происходит, ведь регистрация в Novell не изменялась....
Возможно я что то не так понял, поправьте меня...
(В выни я могу запустить FarManager с правами Администратора из под сеанса простого пользователя который при регистрации получил сетевые ресурсы Novell, и так же иметь к ним доступ)
Аватара пользователя
Бурылов Александр
 
Сообщения: 302
Зарегистрирован: 13 окт 2003, 09:05
Откуда: Пермь

Сообщение Сергей Дубров » 22 янв 2010, 07:11

Бурылов Александр писал(а):А что при смене пользователя Linux , сессия не сбрасывается что ли???

Я не меняю пользователя, а, н-р, просто захожу удалённо по ssh root-ом. И он (root) имеет доступ к сетевым каталогам другого пользователя.

Бурылов Александр писал(а):я так понимаю user вышел, зашёл root... (в выни это же происходит, а потом поновой регистрация Novell)

В простом Win2000/XP - да, так. Но в терминальных серверах Win2003/2008, Vista и Win7 теперь можно иметь активными сразу несколько пользователей одновременно (в XP, к примеру, нельзя было с одной машины иметь подключения от имени разных пользователей к одному и тому же домену, то же самое с новеловским клиентом - его установка выключала возможность сделать переключение юзера). Теперь же даже не на терминальных серверах - Vista и Win7 - можно иметь разные одновременные сессии к одному и тому же домену/дереву. Но при этом никто не имеет доступа к чужим сетевым дискам, они per session.


Бурылов Александр писал(а):правда если под user были ещё и подняты привелегий root , то и в винде тоже самой происходит, ведь регистрация в Novell не изменялась....

Нет, это не так. Попробуйте в венде, зайдя обычным пользователем, подключить сетевые новеловские диски (или войти в домен - неважно). После чего запустите какой-нибудь шелл (FAR, TC,...) от имени локального администратора - в нём вы НЕ увидите чужие диски, они доступны только тому пользователю, той сессии, которые их подключали/монтировали. Это принципиальный момент.

Бурылов Александр писал(а):Возможно я что то не так понял, поправьте меня...

Поправляю :)

Бурылов Александр писал(а):(В выни я могу запустить FarManager с правами Администратора из под сеанса простого пользователя который при регистрации получил сетевые ресурсы Novell, и так же иметь к ним доступ)

НЕТ! Не получите! Проверьте, это несложно. Так было всегда, это, собственно и есть безопасность по вендовски - у них доступ к удалённому ресурсу ограничен пользовательской сессией, в которой был открыт этот доступ. И эта вендовая модель разграничения прав, в данном случае, правильнее и безопаснее линухового подхода, где локальный root может залезть на чужие сетевые ресурсы.
Последний раз редактировалось Сергей Дубров 22 янв 2010, 14:26, всего редактировалось 1 раз.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2073
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

В этом-то и прикол рута

Сообщение Павел Гарбар » 22 янв 2010, 10:30

что он в линухе таки самый главный и может делать все. Поэтому и предлагают использовать его по-реже.
Ведь когда из root'а делаешь su userXX - он ведь даже пароль юзера не спрашивает - типа а зачем?
Павел Гарбар
 
Сообщения: 686
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: В этом-то и прикол рута

Сообщение Dimerson » 22 янв 2010, 16:26

Павел Гарбар писал(а):что он в линухе таки самый главный и может делать все. Поэтому и предлагают использовать его по-реже.
Ведь когда из root'а делаешь su userXX - он ведь даже пароль юзера не спрашивает - типа а зачем?


вот вот - сам хотел написать .

su user из под рута пароль не просит

а runas /user:user cmd

хоть из-под локального админа но пароль хочет :)
Аватара пользователя
Dimerson
 
Сообщения: 2751
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70


Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2