The K Desktop Environment

Weiter Zurück Inhaltsverzeichnis

8. Kppp und die Sicherheit

Dieses Kapitel ist hauptsächlich für Administratoren(root), Leute mit hohen Sicherheitsansprüchen oder einfach technisch Interessierte. Es ist nicht notwendig, dieses Kapitel zu lesen, wenn Sie nur Linux für sich zu Hause laufen lassen (obwohl Sie vielleicht etwas Neues lernen könnten, wenn Sie es lesen).

8.1 Den Zugang zu Kppp beschränken

Ein Systemadministrator möchte vielleicht Zugang zu Kppp auf diejenigen beschränken, denen es erlaubt ist, es zu benutzen. Es gibt zwei Wege, dies zu tun:

Mit Gruppenrechten

Erstellen Sie eine neue Gruppe (Sie können sie z.B. "dialout" oder so ähnlich nennen), nehmen Sie alle Benutzer, die Kppp benutzen dürfen, in die Gruppe auf und geben Sie folgendes ein:

chown root.dialout $KDEDIR/bin/kppp
chmod 4750 $KDEDIR/bin/kppp

Dabei wurde angenommen, daß die neue Gruppe "dialout" genannt wurde.

Kppp's Weg

Bevor Kppp irgend etwas macht, prüft es nach, ob die Datei /etc/kppp.allow existiert. Falls diese Datei existiert, dürfen NUR Benutzer, die in dieser Datei aufgeführt sind, hinauswählen. Die Datei muß für alle Benutzer lesbar (aber natürlich NICHT schreibbar) sein. Es werden nur Login-Namen erkannt, sodaß Sie keine UID's benutzen können. Hier ist ein kurzes Beispiel:

# /etc/kppp.allow
# Kommentarzeilen, wie diese werden ignoriert, 
# genau wie leere Zeilen
fred
karl

# Ich füge mich selbst hinzu :-)
mweilguni
Im obigen Beispiel dürfen nur die Benutzer fred, karl und mweilguni Kppp zum Hinauswählen benutzen, ebenso wie alle Benutzer mit UID 0. Sie müssen also root nicht in der Datei aufführen.

8.2 Kppp hat das SUID Bit gesetzt. Wo bleibt die Sicherheit?

Es ist realistisch gesehen nicht möglich, ein Wählprogramm ohne gesetztes SUID Bit zu schreiben, das sicher und dabei für unerfahrene Benutzer einfach zu benutzen ist. Kppp geht das Sicherheitsproblem mit folgender Strategie an:

Vielen Dank an Harri Porten für das Schreiben dieses exzellenten Stück Quellcodes. Ich dachte, es sei unmöglich - er schrieb es in einer Woche.

Weiter Zurück Inhaltsverzeichnis