Ero sivun ”Tietoturva” versioiden välillä

Siirry navigaatioon Siirry hakuun
1 merkki lisätty ,  30. syyskuuta 2010
p
p (selvempi käsite)
Rivi 56: Rivi 56:
Useimmiten palvelin on käynnistettävä pääkäyttäjän oikeuksin, jotta sillä olisi mahdollisuus käyttää tiettyjä [[TCP]]/[[UDP]]-portteja (<1024) tai muita erikoistoimintoja. Otettuaan käyttöön portin tai muun resurssin ohjelma luopuu pysyvästi näistä oikeuksista (katso [[setuid]]). Jotkut ohjelmat tarvitsevat jatkossakin pääkäyttäjäoikeuksia, mutta käyttävät  näitä säästeliäästi, suorittaen (valta)osan koodistaan palvelinkohtaisella tunnuksellaan, joko [[seteuid]]-kutsun tai [[fork|lapsiprosessien]] avulla.
Useimmiten palvelin on käynnistettävä pääkäyttäjän oikeuksin, jotta sillä olisi mahdollisuus käyttää tiettyjä [[TCP]]/[[UDP]]-portteja (<1024) tai muita erikoistoimintoja. Otettuaan käyttöön portin tai muun resurssin ohjelma luopuu pysyvästi näistä oikeuksista (katso [[setuid]]). Jotkut ohjelmat tarvitsevat jatkossakin pääkäyttäjäoikeuksia, mutta käyttävät  näitä säästeliäästi, suorittaen (valta)osan koodistaan palvelinkohtaisella tunnuksellaan, joko [[seteuid]]-kutsun tai [[fork|lapsiprosessien]] avulla.


Palvelimen (tai toiminnon) ryhmää käytetään esimerkiksi sähköpostin (mail), pelien (games), päätelaitteen (tty) ja kirjautumislokin (utmp) tapauksessa. Tiedostot ovat yksittäisen käyttäjän tai pääkäyttäjän omistuksessa, mutta ryhmäoikeuksien kautta eri ohjelmilla on oikeus kirjoittaa näihin tiedostoihin. Samaa järjestelmää voi käyttää mielivaltaiia uusia palvelimia luotaessa.
Palvelimen (tai toiminnon) ryhmää käytetään esimerkiksi sähköpostin (mail), pelien (games), päätelaitteen (tty) ja kirjautumislokin (utmp) tapauksessa. Tiedostot ovat yksittäisen käyttäjän tai pääkäyttäjän omistuksessa, mutta ryhmäoikeuksien kautta eri ohjelmilla on oikeus kirjoittaa näihin tiedostoihin. Samaa järjestelmää voi käyttää mielivaltaisia uusia palvelimia luotaessa.


Aikoinaan palvelimet, jotka eivät tarvinneet pääkäyttäjäoikeuksia, ajettiin yleensä tunnuksella ja ryhmällä nobody. Tämä johti kuitenkin siihen, että ongelma yhdessä palvelimessa mahdollisti hyökkäykset muihin tätä tunnusta käyttäviin palvelimiin. Nykyään nobody on hyvin vähäisessä käytössä, mutta on käytettävissä ellei johonkin käyttöön halua luoda uusia tunnuksia. nobody-tunnusta käyttävistä palveluista mainittakoon [[NFS]], joka käyttää tätä tunnusta silloin kun se on asetettu olemaan luottamatta asiakaskoneen tarjoamiin käyttäjätunnuksiin ([[UID]]-numeroihin).
Aikoinaan palvelimet, jotka eivät tarvinneet pääkäyttäjäoikeuksia, ajettiin yleensä tunnuksella ja ryhmällä nobody. Tämä johti kuitenkin siihen, että ongelma yhdessä palvelimessa mahdollisti hyökkäykset muihin tätä tunnusta käyttäviin palvelimiin. Nykyään nobody on hyvin vähäisessä käytössä, mutta on käytettävissä ellei johonkin käyttöön halua luoda uusia tunnuksia. nobody-tunnusta käyttävistä palveluista mainittakoon [[NFS]], joka käyttää tätä tunnusta silloin kun se on asetettu olemaan luottamatta asiakaskoneen tarjoamiin käyttäjätunnuksiin ([[UID]]-numeroihin).
785

muokkausta

Navigointivalikko