SliTaz SliTaz Forum

You are not logged in.

#1 2012-10-01 08:46:59

uriukti
Member
Registered: 2012-08-30
Posts: 69

Касается безопасности.

Привет. ) Накопилось несколько вопросов. Перечислю.

1. /home на отдельном разделе?

Сейчас у меня флешка разбита на 2 раздела. Один ext3 с ситемой, другой ntfs со всем остальным. Так вот сейчас у меня прописано

home=SliTaz4 (это метка флешки, для примера),

а хотелось бы чтобы /home был отдельно на втором разделе. Полагаю, что запись придется изменить на

home=/dev/sdb2

Верно или нет? И будет ли в этом случае команда

tazusb writefs lzma

правильно отрабатывать закидывая rootfs.gz в /dev/sdb1 в папку boot?

2. Возможно ли поменять tux на своё имя и установить пароль пользователя, при чём чтобы при загрузке происходил автологин? Или хотя бы установить на tux пароль и сделать автозапуск?

3. Не смог поменять пароль root стандартными методами. ( Просто ничего не происходит.  Как правильно это сделать?

Я считаю, что эти вопросы важны с точки зрения безопасности, но если я ошибаюсь и какие-то пункты из трёх можно упразнить напишите, пожалуйста об этом. Почему так.

Я искал информацию об этом, и продолжаю искать, и пробовать дальше. Но от своевременного совета не отказался бы. )

Offline

#2 2012-10-01 20:13:44

lexeii
Administrator
Registered: 2012-03-21
Posts: 1,853

Re: Касается безопасности.

1. Должно сработать. Но я рекомендую (и не только я) не обращаться к сменным носителям по обычному линукс-имени (sdb2). Теоретически диски могут перепутаться. Нельзя быть уверенным в названиях когда подключены две флешки, а не одна. Так ведь?

Обращение по метке тома лучше, но в теории, тоже может дать сбой.

Рекомендуется обращаться к флешкам по идентификатору (UUID). Идентификатор флешки находится на самой флешке и будет одним и тем же на разных машинах. Отличие от метки тома лишь в том, что он (идентификатор) содержит больше символов и его не так просто (случайно) изменить. Идентификатор присваивается при форматировании и выглядит как уникальный случайный набор шестнадцатеричных цифр перемежающихся иногда дефисами.

Узнать UUID можно внимательно изучив вывод команды [c]blkid[/c].

Использовать его (в menu.lst или в fstab) несложно. Например, запись вида

[c]home=/dev/sdb2[/c]

меняем на

[c]home=UUID=1234-DEAD-BABE-CAFE[/c]

Offline

#3 2012-10-01 20:20:30

lexeii
Administrator
Registered: 2012-03-21
Posts: 1,853

Re: Касается безопасности.

2, 3. Вопросы отпадают при использовании „Установщика SliTaz” с графическим пошаговым мастером в TazPanel. При установке в том числе настраиваются пользователи и их пароли.

Рекомендую обновить TazPanel до последней версии и на всякий случай забэкапить информацию с флешки, т.к. в одной из предыдущих версий происходило форматирование раздела /home даже при снятой галочке.

ЗЫ. Говорят, что если создать своег юзера и убить Тукса, то загрузочные скрипты всё равно „воскрешают его из мёртвых”. Это отголоски LiveCD/LiveUSB, когда при каждом запуске создается юзер Тукс, проверяется наличие его папки (создается при необходимости) и после (авто)логина мы получаем рабочую систему. Так что не бойся призрака-Тукса, он хороший wink но несчастный, неприкаянный...

Offline

#4 2012-10-02 08:39:57

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

))) Понятно. Спасибо, работаю. Когда всё сделаю отпишусь.

Получается если я сделал вариант liveusb, то поменять пароль root просто не выйдет?  И добавить пользователя со своим паролем? Или же можно, всё таки, через перезаписывание rootfs.gz ?

А Туксом я бы пользовался, если бы было можно установить на него пароль...Но я так понимаю, что в liveusb это не возможно?

Все эти мои вопросы связаны с желанием максимально обезопасить систему от вторжения извне. Возможно ли вторгнуться в SliTaz через призрака Тукса, который мается без пароля? ) Как считаете? То есть вторгнуться можно куда угодно при желании, конечно, но я имею в виду другое. Вторгнуться в SliTaz будет просто если Тукс без пароля или нет. И держит ли планку безопасности дистрибутив на том же уровне как тот же DEBIAN и Slackware ?

Offline

#5 2012-10-02 09:12:53

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

Нверное всё же правильно спросить....как и что проверить ! и настроить ! в SliTaz, чтобы добиться лучшей безопасности в сети? Может я пытаюсь защититься делая совершенно не нужные шаги?

Offline

#6 2012-10-02 09:54:24

lexeii
Administrator
Registered: 2012-03-21
Posts: 1,853

Re: Касается безопасности.

Пока писал ответ на один пост, уже появился другой. Цитирую:

Все эти мои вопросы связаны с желанием максимально обезопасить систему от вторжения извне.

Из какого „вне”? Что имеется ввиду?

Эксплуатация учетной записи пользователя подразумевает ограниченные возможности. Эксплуатация рута - полный контроль над системой.

Таки да, в Слитазе открыт 80-й порт. Находясь в одной и той же вай-фай сети, зная айпи адрес, я зашел со своего смартфона на свой же нетбук. Если не ошибаюсь, то мне показало /var/www/index.cgi. Попробовал пройти глубже - получилось, и я играл в Судоку из /var/www/sudoku/. Я не считаю это какой-то офигенской дырой - наоборот, думаю, как бы это можно было применить с пользой для дела.

Совсем другое дело - можно ли подняться „выше”? Могу только теоретически сказать „нет”. Веб-сервер запускается от имени пользователя www, прав root у него нету, полного контроля над системой не получится. К тому же, сервер должен „запираться в клетке” /var/www/ и не пускать никого и никак выше.

Ну это так, в теории. Буду рад почитать о практике.

Ну, и, добавить/удалить пользователей можно в любое время. Наша система в этом отношении не хуже других. Главное, не забыть сохранить /etc.

Offline

#7 2012-10-02 11:14:17

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

Ну вот в общем то это я и хотел узнать. ) Спасибо Aleksej.

Получается важно поменять пароль root и, если сильно необходимо закрыть 80 порт. И всё.

А поменять пароль root и пользователя в liveusb никак нельзя? Думаю, что теоритически должно быть можно.

Offline

#8 2012-10-02 12:59:33

lexeii
Administrator
Registered: 2012-03-21
Posts: 1,853

Re: Касается безопасности.

Offline

#9 2012-10-02 13:09:11

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

да нет. я в курсе, что изменить пароль можно и знаю как это делается в simply linux и ubuntu например, я не хотел, чтобы Вы искали за меня. Просто у меня сложилось ощущение, что в live версии это или сложнее или может быть подругому. Я отнюдь не тунеядец...Спасибо за подсказку.

Offline

#10 2012-10-02 13:18:06

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

да и вообще я же говорю - чайник. мне такие элементарные вещи кажутся не простыми порой. как в мутной воде всё время...

если решение элементарно, пишите - гугл, и всё станет ясно. а то у меня ощущение, что чем экзотичней система, тем решение задач в ней всё таинственнее и скрытее, особенная система, особенные методы...:(

спасибо пароли поменял...

Offline

#11 2012-10-02 13:19:18

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

мало того теперь ясно, окружение у линуксов разное, ядро и соответственно команды, способы одни...

Offline

#12 2012-10-02 16:39:18

lexeii
Administrator
Registered: 2012-03-21
Posts: 1,853

Re: Касается безопасности.

Шутка не удалась sad Не обижайся, пожалуйста.

У SliTaz есть свои принципы, основными из которых есть KISS и применение лучших традиций в мире Linux. Так называемые „дружелюбные” дистрибутивы линукса, пригодные для использования даже домохозяйками, содержат в себе вагон и маленькую тележку программ, призванных облегчить жизнь пользователя. SliTaz очень мал, туда просто не поместится вся эта „дружелюбная” составляющая, фактически получается, что SliTaz не так уж дружелюбен! Но в нём остается тот необходимый минимум, тот „сухой остаток” (без „воды”), который одинаково работает в подавляющем большинстве других дистрибутивов.

А это, конечно же, не графические программы. Это я бы назвал „обвязкой вокруг ядра” первого уровня. Это команды в терминале и правка конфигов в текстовом редакторе, и т.п.

ДА, в SliTaz можно управлять пользователями через TazPanel, но команда passwd будет работать одинаково во всех линуксах, потому что ее наличие совершенно необходимо. А все другие методы - это лишь надстройки над этим базовым функционалом. Научившись работать в терминале и выучив десяток команд, можно прменять их на разнообразных линуксах...

Offline

#13 2012-10-02 16:57:29

lexeii
Administrator
Registered: 2012-03-21
Posts: 1,853

Re: Касается безопасности.

чем экзотичней система, тем решение задач в ней всё таинственнее и скрытее, особенная система, особенные методы...

Попробуй Haiku! (оф. сайт, загрузка).

Это очень необычная и интересная система. И это не линукс. Но даже в такой экзотичной системе многие вещи делаются привычным образом, и терминал тоже никто не отменял wink

Offline

#14 2012-10-02 21:37:58

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

В общем по первым трём пунктам, итог на сегодня. соберу всё в кучу.

1. Удалось переместить /home на отдельный раздел. Для этого флешку пришлось разбить ( так  было нужно мне) на 3 раздела. Первый ext3 для системы, второй ext3 для /home (при чём ntfs SliTaz игнорировал как /home), третий ntfs для USB. Для того, чтобы можно было переместить /home пришлось с помощью команды

# blkid

выяснить идетификатор раздела и поместить его в загрузку.

home=UUID="2346-34E54-4567FG-К3657" (примерно так)

Единственной проблемкой осталось то, что tazusb перезаписывая rootfs.gz, в такой конфигурации, не перекладывает его в boot и это нужно сделать в ручную.

2. Пользователя tux я не менял, но поставил на него свой пароль. Команда.

$ passwd

Автологин при этом продолжает работать.

3. Пароль root меняется так же, но команда меняется на:

# passwd

поле смены паролей перезаписывается rootfs.gz для сохранения изменений.

Всё. Вопросы темы решены.

Offline

#15 2012-10-02 23:11:02

lexeii
Administrator
Registered: 2012-03-21
Posts: 1,853

Re: Касается безопасности.

По первому пункту.

Указано, что первый раздел используется для системы (SliTaz, да?) Здесь разложены папки /bin, /lib, /usr... так? Это „полная” установка. А дальше написано о rootfs.gz. Это же для „LiveUSB” установки. Там rootfs.gz должен находиться в папке boot на разделе home. Изнутри системы это выглядит как /home/boot/rootfs.gz, а снаружи (из другого линукса) это - второй_раздел/boot/rootfs.gz.

Наверное, папка boot имеется и на первом разделе? Можно ничего руками не менять, нужно или приспособиться к существующей логике, либо подправить скрипт.

Кстати SliTaz 3.0 у меня с давних пор использует ntfs в разделе home (который есть диск С с windows). Но это неудобно для меня же. Все файлы становятся исполнимыми, из-за этого иногда неверно угадывается тип файла.

Мой windows xp показывает только первый раздел на флешке. Если бы я так разбил, то не смог бы работать (windows не работает с ext). Может, всему виной версия winxp home edition?

---

В строчке с UUID (см. пост выше) я не знаю, будет ли работать с кавычками. Видел только примеры без кавычек.

---

Если вопросы решены, зажигаем зеленую лампочку smile

Offline

#16 2012-10-03 04:34:16

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

Ну да...забыл упомянуть о своей навязчивой идее. )

Тут всё дело в том, что я всегда хотел иметь под рукой флешку с полноценной системой и всем необходимым софтом на ней. И сейчас я так близок к этому. Кроме того выяснилось, что можно загрузить всю систему прямо в RAM, получая скоростную отдачу, работая в режиме liveusb, да ещё и иметь каждый раз так сказать "свежачок", ничем не запятнаный. ))) И вот я эту идею и развиваю. Создал локальный репозиторий с твоей Aleksej, кстати помощью. За что очень тебе благодарен. И т.д. Но думая о безопасности вспомнил о том, что желательно отделить /home от первого раздела, системы. Хоть даже система в RAM, отдельно. Вот и решил попробовать. ) Но в таком случае почему то с ntfs. у меня не вышло. Ну не захотел liveusb отделять /home на ntfs.

В общем, хоть особой необходимости в этом нет, я отделил /home, от первого раздела где boot с rootfs.gz и остальное. ))) (я же спрашивал можно ли упразнить какие либо пункты?) wink

А на хардах у меня ubuntu 12.04.

В общем у меня liveusb и всё связанно с этим.

UUID с кавычками у меня работает wink .

Зажигай зелёный.

Offline

#17 2012-10-06 20:46:43

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

Кстати. Проверил в winxp ... действительно, видит только первый раздел на флешке. (

Поэтому я сделал как мне советовал Aleksej. Первый раздел теперь ntfs, второй boot - ext3, третий home - ext3. (ну..это моя блажь, мне так спокойнее)

Offline

#18 2012-10-10 14:57:26

sklimkin
Member
Registered: 2012-10-08
Posts: 99

Re: Касается безопасности.

uriukti

А что у Вас на флэшке в качестве загрузчика (grub grud4dos grub2 syslinux)?

Можете показать здесь файл загрузки (menu.lst grub.cfg syslinux.cfg)?

На разделе boot (ext3) у Вас rootfs.gz или полноценный набор /boot/ /root/ /bin/ /lib/ и т.д. директорий Линукса?

Offline

#19 2012-10-11 06:11:27

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

У меня на флешке просто liveusb, на втором разделе rootfs.gz. Загрузчика нет, установка производилась утилитой tazusb сразу на второй раздел - boot.

Мне нравится идея загрузки всей системы в RAM, скорость работы высокая. Я развил такую идею для себя: флешка с live-slitaz, для загрузки в RAM, (убиваю три зайца - скорость работы, "свежесть" системы, не износ носителя); локальный репозиторий, со всеми необходимыми программами на этой же флешке (в случае обновления, добавления всё обновляется); в win просто флешка. После каждой новой загрузки устанавливаю из репозитория нужную программу(ы) каждый раз заново. А чтобы эти действия не были изматывающими просто написал скрипты установки-запуска. Поэтому процесс выглядит как простое двойное нажатие на иконку программы. ) Зато размер файла rootfs.gz и время загрузки системы остались неизменными. 35мб и 10 сек. ) А так же система не переполнена лишними пакетами. Каждый раз они - новые.

Offline

#20 2012-10-11 06:30:58

uriukti
Member
Registered: 2012-08-30
Posts: 69

Re: Касается безопасности.

Если более подробно по установке...

Флешку разбил утилитой GParted на 3 раздела. Первый ntfs, второй ext3 с флагом boot, третий ext3. Загрузился используя livecd - SliTaz4, yтилитой  tazusb установил систему liveusb сразу на второй ext3 раздел с флагом boot. В SliTaz это /dev/sdb2 у меня. При загрузке PC (в биосе стоит загрузка с usb) компютер видит boot раздел и ищет на нём информацию для загрузки. Она находится в каталоге boot на этом разделе.

P.S. Изменения загрузки внесены мной в файлы isolinux, extlinux. Там же про home.

P.P.S ))) Для экспериментов всегда валяется РЕВРАЙТЕР. )

Offline

Registered users online in this topic: 0, guests: 1
[Bot] ClaudeBot

Board footer

Powered by FluxBB
Modified by Visman

[ Generated in 0.017 seconds, 7 queries executed - Memory usage: 1.6 MiB (Peak: 1.77 MiB) ]