]> Geert Jansen

g.t.jansen@stud.tue.nl

Lauri Watts

lauri@kde.org

Recenzent Stanislav Višňovský

visnovsky@nenya.ms.mff.cuni.cz

Preklad 2000 Geert Jansen &FDLNotice; 2002-01-18 1.00.00 &tdesu; je grafické rozhranie pre príkaz "su" systému &UNIX;. KDE su heslo root Vitajte v &tdesu;! &tdesu; je grafické rozhranie pre príkaz &UNIX;"su" pre prostredie K Desktop Environment. Umožňuje spúšťať programy ako iný používateľ zadaním hesla pre tohto používateľa. &tdesu; nemá žiadne špeciálne práva, používa príkaz systému su. &tdesu; obsahuje ešte jednu funkciu: môže si za vás pamätať heslá. Ak túto funkciu používate, musíte pre každý príkaz zadať heslo iba raz. Informácie o tejto funkcii a bezpečnostných otázkach nájdete v Tento program by mal byť používaný z príkazového riadku alebo zo súborov .desktop. Aj ked pre zadanie hesla root používa dialógové okno &GUI;, považujte to skôr za <-> &GUI; obálku, než za &GUI; program. Použitie &tdesu; je veľmi jednoduché. Spúšťa sa takto: tdesu USER -n -t -q -d -f FILE -c COMMAND ARG1 ARG2 tdesu -v -h -s Možnosti príkazového riadku sú vysvetlené nižšie. -c PROGRAM Toto určuje, aký program spustiť ako root. Musí to byť jeden argument, takže, ak chcete spustiť nového správcu súborov, zadáte príkaz tdesu -c kfm -sw -f SÚBOR Táto voľba umožňuje efektívne použitie &tdesu; v súboroch .desktop. Povie &tdesu;, aby sa pozrel do súboru SÚBOR. Ak do tohto súboru môže aktuálny používateľ zapisovať, &tdesu; spustí príkaz ako aktuálny používateľ. Ak zapisovať nemôže, príkaz spustí ako používateľ POUŽÍVATEĽ (štandardne root). SÚBOR sa použije takto: ak SÚBOR začína na /, považuje sa za absolútne meno súboru. Inak sa považuje za meno globálneho konfiguračného súboru &kde;. Napríklad: aby ste nastavili správcu prihlásení pre &kde;, kdm, môžete použiť príkaz tdesu -c kdmconfig -f kdmrc -t Povolí terminálový výstup. Toto vypne zapamätanie hesiel. Používa sa hlavne pre ladenie programov, ak chcete spustiť príkaz v termináli, použite štandardný príkaz su. -n Nepamätať si heslo. Toto zakáže voľbu Uložiť heslo v dialógu pre zadanie hesla. -q Potichu. -d Zobrazí ladiace informácie. -v Vytlačí informáciu o verzii a skončí. -h Vytlačí informácie o použití. -s Zastaví démona tdesu. Prečítajte si . &tdesu; obsahuje ovládací modul kcmtdesu. Nájdete ho v menu K v Nastavenia Aplíkácie KDE su. V ňom môžete nastaviť tieto veci: Echo mód Určuje, koľko znakov sa zobrazí pri písaní hesla na obrazovke. Možnosti sú: jedna hviezdička na jeden znak, tri hviezdičky na jeden znak, alebo sa nič vypisovať nemá. Štandardné nastavenie je jedna hviezdička na jeden znak. Ukladanie hesiel &tdesu; si môže za vás pamätať zadané heslá, ak použijete voľbu Uložiť heslo. Ak je zaškrtnutá, môžete do poľa pod ňou zadať dobu v minútach, ako dlho bude heslo platné a uložené. Štandardné nastavenie je neukladať heslá. Program môže byť spustený pod používateľským id root a nebude mať štandardne právo používať váš X displej. &tdesu; to obchádza pridaním overovacieho cookie pre váš displej do súboru .Xauthority. Po ukončení programu je tento súbor odstránený. Ak nepoužívate X cookies, musíte si to zariadiť sami. &tdesu; túto situáciu detekuje a nebude pridávať cookie, ale vy musíte zariadiť, aby mal root právo pre prístup k vášmu displeju. &tdesu; používa systémový príkaz su pre získanie práv. V tejto časti je detailne popísané, ako to &tdesu; robí. Pretože niektoré implementácie su (napr. tá od &RedHat;) odmietajú čítať heslá z stdin, &tdesu; vytvára pár zariadení pty/tty a spúšťa su so štandardnými vstupmi a výstupmi napojenými na toto tty. Pre spustenie programu namiesto interaktívneho príkazového riadku používa &tdesu; prepínač -c príkazu su. Tento prepínač podporuje každá známa implementácia tohto príkazu. su predá tento prepínač -c cieľovému príkazovému riadku a ten spustí program. Napríklad: su root -c program. Namiesto priameho spustenia príkazu su, &tdesu; spustí malý program označený ako tdesu_stub. Táto obálka (bežiaca ako cieľový používateľ), si vypíta od &tdesu; niektoré informácie pomocou kanálu pty/tty (štandardný vstup a výstup obálky) a potom spustí požadovaný program. Predaná informácia obsahuje : X displej, X overovacie cookie (ak je k dispozícii), premennú PATH a spúšťaný príkaz. Dôvod je prenos súkromnej informácie o X cookie, ktorú nie je možné predať pomocou príkazového riadku. &tdesu; overuje zadané heslo a oznámi chybu v prípade, že nie je správne. Kontrola je implementovaná spustením testovacieho programu: /bin/true. Ak je jeho spustenie úspešné, heslo sa považuje za správne. Aby sa zvýšil váš komfort, &tdesu; implementuje funkciu ukladania hesiel. Ak vás zaujíma bezpečnosť vášho systému, asi by ste si tento odstavec mali prečítať. Povolením ukladania hesla sa vo vašom systéme otvára (malá) bezpečnostná diera. Samozrejme, &tdesu; nedovolí nikomu inému používať tieto heslá, ale ak si nedáte pozor, znížite tým zabezpečenie účtu root na vašu úroveň. Hacker, ktorý sa dostane na váš účet tak získa prístup na úrovni root. &tdesu; sa tomu snaží zabrániť, použitím bezpečnostnej schémy, ktorá je, aspoň podľa mňa, rozumná. &tdesu; používa démona tdesud. Démon čaká na sokete UNIX v /tmp na príkazy. Mód soketu je 0600, takže iba používateľ s vaším id sa k nemu môže pripojiť. Ak je povolené ukladanie hesiel, &tdesu; spúšťa príkazy pomocou tohto démon. Zapisuje príkaz a heslo root do soketu démon príkaz vykoná pomocou su tak, ako to bolo popísané hore. Potom ale príkaz a heslo nie sú zahodené. Namiesto toho sa uchovávajú po danú dobu. To je práve hodnota, ktorú ste zadali v ovládacom module. Ak sa objaví ďalšia požiadavka na rovnaký príkaz v danej dobe, klient nemusí predávať heslo. Aby hackeri, ktorí sa dostali na váš účet, nezískali heslá od démona (napríklad pripojením debuggera), démon je nainštalovaný so skupinou nogroup. To by malo zabrániť všetkým normálnym používateľom (aj vám) v získaní hesla z procesu tdesud. Démon navyše nastavuje premennú prostredia DISPLAY na hodnotu, ktorú obsahovala pri jeho štarte. Jediná vec, ktorú hacker môže urobiť, je spustiť aplikáciu na vašom displeji. Jeden slabý bod v tejto schéme je, že programy, ktoré spúšťate, asi neboli napísané ako bezpečné (narozdiel od napríklad programov využívajúcich setuid root). To znamená, že môžu obsahovať pretečenia pamäte alebo iné problémy, ktoré môže hacker využiť. Použitie ukladania hesiel je o rozhodnutí, či dať prednosť bezpečnosti alebo komfortu. Doporučujem, aby ste si to poriadne premysleli a rozhodli sa, či ho chcete používať alebo nie. &tdesu; Copyright 2000 Geert Jansen &tdesu; vytvoril Geert Jansen. Je trochu založený na &tdesu; verzia 0.3 od Pietra Iglio. Pietro a ja sme sa zhodli, že ja sa budem v budúcnosti o tento program starať. Autora môžete kontaktovať e-mailom na adrese g.t.jansen@stud.tue.nl. Prosím, oznámte mi všetky chyby, na ktoré narazíte, aby som ich mohol opraviť. Ak máte nejaké nápady, rád sa o nich dozviem. &underFDL; &underArtisticLicense; &install.intro.documentation; &install.compile.documentation;