]> &Geert.Jansen; &Geert.Jansen.mail; MarekLaane

bald@starman.ee

Tõlge eesti keelde 2000 &Geert.Jansen; &FDLNotice; 2005-06-07 1.00.00 &tdesu; on &UNIX; käsu su graafiline kasutajaliides. KDE su parool administraator Tere tulemast kasutama &tdesu;'d! &tdesu; on &UNIX; käsu su graafiline kasutajaliides KDE töölaua keskkonnas.See võimaldab käivitada rakendusi teise kasutajana, andes vastava kasutaja parooli. &tdesu; on privileegideta rakendus, see kasutab süsteemi käsku su. &tdesu;'l on aga üks lisavõimalus: ta võib parooli sinu eest meeles pidada. Seda võimalust kasutades tuleb parool sisestada ainult üks kord. Sellest räägib lähemalt , kus on ka hinnatud selle turvalisust. Rakendust saab käivitada käsurealt või .desktop-faile avades. Kuigi see pärib administraatori (root) parooli &GUI; dialoogis, pean ma ise seda rohkem käsurea <-> &GUI; seguks kui puhtaks &GUI; rakenduseks. tdesu; kasutamine on väga lihtne. Süntaks näeb välja selline: tdesu -c -d -f fail -i ikooni nimi -n -p prioriteet -r -s -t -u kasutaja --nonewdcop käsk arg1 arg2 tdesu &kde; üldised võtmed Qt üldised võtmed Käsurea võtmeid selgitatakse allpool. -c programm Määrab rakenduse käivitama administraatori õigustes. See tuleb anda ühe argumendina. Kui näiteks soovid käivitada uut failihaldurit, tuleb käsureale kirjutada tdesu -c kfm -sw -d Näitab silumisinfot. -f fail Võimaldab kasutada &tdesu;'d tõhusalt .desktop-failide puhul, käskides &tdesu;'l uurida faili, mille nimi on antud parameetriga fail. Kui käsuandjal on sellel failil kirjutamisõigus, käivitab &tdesu; faili kasutaja õigustes. Kui aga mitte, käivitatakse käsk kasutajana kasutaja (vaikimisi administraator). Parameetrit fail hinnatakse järgmiselt: kui fail algab märgiga /, on see absoluutne failinimi. Muul juhul peetakse seda &kde; globaalse seadistustefaili nimeks. Näiteks KDE kuvahalduri kdm seadistamiseks tuleb anda käsk tdesu -c kdmconfig -f kdmrc -i ikooni nimi Määrab paroolidialoogis kasutatava ikooni nime. Määrata võib ka ainult nime, ilma faililaiendita. Näiteks kfmclient käivitamiseks ja &konqueror;i ikooni näitamiseks paroolidialoogis: tdesu -i konqueror kfmclient -n Parooli ei säilitata. See muudab märkekasti parool jäetakse meelde mittekasutatavaks. -p prioriteet Määrab prioriteedi. Prioriteet on suvaline arv vahemikus 0 kuni 100, kusjuures 100 tähendab kõrgeimat ja 0 madalaimat prioriteeti. Vaikeväärtus on 50. -r Reaalaja planeerija kasutamine. -s Peatab tdesu deemoni. Lähemalt räägib sellest . -t Võimaldab terminaliväljundi ning tühistab parooli säilitamise võimaluse. See on peamiselt mõeldud silumiseks, kui soovid käivitada konsoolirežiimis rakendust, kasuta parem tavapärast su käsku. -u kasutaja Kuigi &tdesu; kõige levinum tarvitamine on käsu käivitamine administraatori õigustes, võib määrata suvalise kasutajanime ja vastava parooli. Käivitatav rakendus töötab administraatori ID-ga ning üldiselt ei ole sel ligipääsuõigust X'ile. &tdesu; saab sellest aga üle, lisades autentimisküpsise ajutisele .Xauthority-failile. Käsu lõppemisega fail kustutatakse. Kui sa X'i küpsiseid ei kasuta, ei ole midagi teha. &tdesu; avastab selle ega lisa küpsist, aga siis pead ise tagama, et administraatoril oleks ligipääs X'i seansile. &tdesu; kasutab privileegide hankimiseks süsteemi su käsku. Siin seletan lähemalt, kuidas &tdesu; seda teeb. Kuna mõned su versioonid (&ie; seesamune &RedHat; oma) ei taha parooli lugeda stdin-ist, loob &tdesu; pty/tty paari ning käivitab su standardsete tty-ga seotud failikirjendajatega. Kasutaja antud käsu käivitamiseks kasutab &tdesu; su juures võtit -c. Seda argumenti tunnistavad kõik shellid, mida ma vähegi tean, nii et see peaks kõikjal toimima. su edastab argumendi -c sihtshellile ning see käivitab rakenduse. Näide: su root -crakendus. Selle asemel, et käivitada kasutaja antud käsk vahetult su-ga, käivitab &tdesu; väikese tüverakenduse nimetusega tdesu_stub. See tüvi (töötab sihtkasutajana) nõuab &tdesu;lt mõningat infot pty/tty kanali kaudu (tüve stdin ja stdout) ning käivitab siis kasutaja rakenduse. Saadetavaks infoks on: X'i seanss, X'i autentimisküpsis (kui on olemas), muutuja PATH ja käivitatav käsk. Tüve kasutamise põhjuseks on see, et X'i küpsis kujutab endast varjatud infot, mida ei saa edastada käsureal. &tdesu; kontrollib sisestatud parooli ning annab veateate, kui see pole korrektne. Kontrollimiseks käivitatakse testprogramm: /bin/true. Kui see õnnestub, peetakse parooli õigeks. Puhtalt kasutaja mugavuse huvides kasutab &tdesu; võimalust parool jäetakse meelde. Kui sulle on aga oluline turvalisus, peaksid selle osa hoolikalt läbi lugema. Luba &tdesu;'l parooli säilitada avab (kuigi väikese) turvaaugu sinu süsteemis. On selge, et &tdesu; lubab paroole kasutada ainult sinu kasutaja-ID-ga, kuid kui siin ettevaatlikkust ei ilmutata, võrdsustab see administraatori (root) turvataseme tavakasutaja omaga. Sinu kontole sisse murdev häkker saab sel moel muidu administraatorile lubatud õigused. &tdesu; püüab seda vältida. Kasutatav turvaskeem on vähemalt minu hinnangul mõistuse piires turvaline. &tdesu; kasutab deemonit nimetusega tdesud. See deemon uurib &UNIX; soklit /tmp-s käskude saamiseks. Sokli režiim on 0600, nii et sellega saab ühendust ainult kasutaja ID-ga. Kui parooli meeldejätmine on lubatud, käivitab &tdesu; käsud deemoni kaudu. See kirjutab käsu ja administraatori parooli soklile ning deemon käivitab käsu su abil, nagu eespool kirjeldatud. Seejärel ei kustutata kohe käsku ja parooli, vaid need hoitakse teatud aeg alles. See ongi seadistusmoodulis määratav aegumisväärtus. Kui selle jooksul saabub sama käsk uuesti, ei ole kliendil vaja parooli uuesti sisestada. Häkkerite eemalhoidmiseks, kes võivad sinu kontole sisse murda ja deemonilt paroole varastada (näiteks seda silujaga ühendades), on deemon loonud set-group-id nogroup'i. See peaks takistama kõigil tavakasutajatel (ka sinul endal) hankimast paroole tdesud protsessilt. Deemon määrab ka keskkonnamuutuja DISPLAY väärtuseks käivitusaegse väärtuse. Sellisel juhul on ainus asi, mida häkker saab teha, rakenduse käivitamine sinu seansis. Selle skeemi nõrgaks kohaks on asjalu, et rakendused, mida sa käivitad, et ole tõenäoliselt loodud turvalisust silmas pidades (nagu setuid root rakendused). See tähendab, et neil võib esineda puhvri ületäide või muid probleeme, mida häkkerid saavad ära kasutada. Parooli meeldejätmise võimalus on kompromiss turvalisuse ja mugavuse vahel. Soovitan väga tungivalt sellele mõelda ja ise otsustada, kas seda kasutada või mitte. &tdesu; Autoriõigus 2000: &Geert.Jansen; &tdesu; kirjutas &Geert.Jansen;. Selle aluseks on mõneti Pietro Iglio &tdesu; versioon 0.3, Me leppisime Pietroga kokku, et edaspidi olen selle hooldaja mina. Autoriga saab ühendust võtta meilitsi: &Geert.Jansen.mail;. Palun anna mulle teada kõigist leitud vigadest, et saaksin need ära parandada. Aga kirjuta ka siis, kui sul on hea mõte, kuidas midagi võiks paremaks muuta. &underFDL; &underArtisticLicense;