[opensuse-es] Traceroute
Hola, Pregunta de curiosidad... ¿Por qué la utilidad "traceroute" se debe ejecutar como usuario root? ¿Tiene alguna peligrosidad (el "ping" me parece más peligroso...) o es un mero formalismo heredado? :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Me imagino que es por si tiene que pasar por algún "servicio" que ejecuta root, lease Proxy, etc... -----Mensaje original----- De: Camaleón [mailto:noelamac@gmail.com] Enviado el: lunes, 12 de mayo de 2008 11:29 Para: opensuse-es@opensuse.org Asunto: [opensuse-es] Traceroute Hola, Pregunta de curiosidad... ¿Por qué la utilidad "traceroute" se debe ejecutar como usuario root? ¿Tiene alguna peligrosidad (el "ping" me parece más peligroso...) o es un mero formalismo heredado? :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 12/05/08, [Rafa Toucedo] escribió:
Me imagino que es por si tiene que pasar por algún "servicio" que ejecuta root, lease Proxy, etc...
Pero, siguiendo con esa idea, un cliente que pasa por proxy podría llegar hasta donde le deje el servicio de proxy o el cortafuegos, por ejemplo, según restricciones. En ese caso, la traza termina donde le permite la configuración de la red (como el ping), pero no por ello debe poder "ejecutarse" sólo cómo root ¿no? :-? Si el cliente puede navegar ¿por qué no "traceroutear"? :-P Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Me imagino que será por que es un comando para "administradores" será una política interna de dicho comando, es decir habrán dicho "este comando solo lo debería de usar un "administrador" del sistema por lo cual solo lo podrá ejecutar Root ... -----Mensaje original----- De: Camaleón [mailto:noelamac@gmail.com] Enviado el: lunes, 12 de mayo de 2008 12:07 Para: opensuse-es@opensuse.org Asunto: Re: [opensuse-es] Traceroute El 12/05/08, [Rafa Toucedo] escribió:
Me imagino que es por si tiene que pasar por algún "servicio" que ejecuta root, lease Proxy, etc...
Pero, siguiendo con esa idea, un cliente que pasa por proxy podría llegar hasta donde le deje el servicio de proxy o el cortafuegos, por ejemplo, según restricciones. En ese caso, la traza termina donde le permite la configuración de la red (como el ping), pero no por ello debe poder "ejecutarse" sólo cómo root ¿no? :-? Si el cliente puede navegar ¿por qué no "traceroutear"? :-P Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 11:29 +0200, Camaleón escribió:
Hola,
Pregunta de curiosidad...
¿Por qué la utilidad "traceroute" se debe ejecutar como usuario root? ¿Tiene alguna peligrosidad (el "ping" me parece más peligroso...) o es un mero formalismo heredado? :-?
Creo que es para que no lo usen meros mortales, sino solo los dioses del sistema que se lo han estudiado :-P Dicho sea con guasa, pero algo de eso es. Se supone que el root sabe lo que hace, y que tendrá cuidado de no incordiar. Un usuario puede estar simplemente jugando, y como la red es algo delicado, etc, etc, pues nada, a los niños no les dejamos jugar. Lo cual es absurdo, porque los niños tendrán su propio pc, o enchufan el pc de al lado que tiene windows y no les pone trabas. Habría que preguntarlo en una lista como la de seguridad o la inglesa a ver si alguien "lo recuerda", porque pululan por ahí gente de cuando los bugs eran moscas en los contactos de los reles del eniac :-p - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKB0htTMYHG2NR9URAqOYAJwOj+NKV9SiW1nz8joUTLGTm5y6HgCfbj14 8ZhE3xxTHtNBM3whNT7q3aw= =663f -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 12:34 +0200, escribí:
Pregunta de curiosidad...
¿Por qué la utilidad "traceroute" se debe ejecutar como usuario root? ¿Tiene alguna peligrosidad (el "ping" me parece más peligroso...) o es un mero formalismo heredado? :-?
Creo que es para que no lo usen meros mortales, sino solo los dioses del sistema que se lo han estudiado :-P
Los semidioses pueden usarlo: prueba a llamarlo con "/usr/sbin/traceroute" desde la tierra. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKB+btTMYHG2NR9URAlpzAJ9mtAFXLmRCWJxHV+4wEVpQPYCTqACfdfg/ 9EqMJQh135ZdOgQp6epKTtk= =Fasx -----END PGP SIGNATURE-----
El 12/05/08, Carlos E. R. escribió:
El 2008-05-12 a las 12:34 +0200, escribí:
Creo que es para que no lo usen meros mortales, sino solo los dioses del sistema que se lo han estudiado :-P
Úsease, que piensas como Rafa Toucedo, que es "porque sí" y punto :-). Pero si el traceroute es inofensivo O:-)
Los semidioses pueden usarlo: prueba a llamarlo con "/usr/sbin/traceroute" desde la tierra.
Úsease, que los "dioses" tienen un bug :-P Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 13:01 +0200, Camaleón escribió:
El 2008-05-12 a las 12:34 +0200, escribí:
Creo que es para que no lo usen meros mortales, sino solo los dioses del sistema que se lo han estudiado :-P
Úsease, que piensas como Rafa Toucedo, que es "porque sí" y punto :-).
Para que los usuarios no jueguen.
Pero si el traceroute es inofensivo O:-)
Más o menos.
Los semidioses pueden usarlo: prueba a llamarlo con "/usr/sbin/traceroute" desde la tierra.
Úsease, que los "dioses" tienen un bug :-P
No, si has estudiado linux, sabes algo, sabes el path y lo ejecutas. Hay bastantes comandos en el /sbin que realmente no requieren privilegios para ejecutarse. - -rwxr-xr-x 1 root root 18276 2007-09-22 00:07 /usr/sbin/traceroute* - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKC+AtTMYHG2NR9URAkFiAJ9+dAzDLNgP4ZMtQWfDamKChs2HggCeP0XB WQt/ytjjNamXNqtzknjdcko= =I0lo -----END PGP SIGNATURE-----
El 12/05/08, Carlos E. R. escribió:
Hay bastantes comandos en el /sbin que realmente no requieren privilegios para ejecutarse.
- -rwxr-xr-x 1 root root 18276 2007-09-22 00:07 /usr/sbin/traceroute*
Cierto... La cuestión sería, pues: a) Por qué, "traceroute" es un programa considerado para ser ejecutado por el usuario root (y por eso está bajo /usr/sbin) b) Y por qué, si lo puede ejecutar el usuario, no ponerlo accesible en sus rutas ($path) :-? La ofuscación no es sinónimo de seguridad. Si lo puede ejecutar, lo hará tarde o temprano. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 15:16 +0200, Camaleón escribió:
El 12/05/08, Carlos E. R. escribió:
Hay bastantes comandos en el /sbin que realmente no requieren privilegios para ejecutarse.
- -rwxr-xr-x 1 root root 18276 2007-09-22 00:07 /usr/sbin/traceroute*
Cierto...
La cuestión sería, pues:
a) Por qué, "traceroute" es un programa considerado para ser ejecutado por el usuario root (y por eso está bajo /usr/sbin)
b) Y por qué, si lo puede ejecutar el usuario, no ponerlo accesible en sus rutas ($path)
:-?
La ofuscación no es sinónimo de seguridad. Si lo puede ejecutar, lo hará tarde o temprano.
Ya lo he dicho dos veces, va la tercera. Porque el usuario que sabe donde buscar ese programa para ejecutarlo, tiene experiencia y sabe de que va. Tan simple como eso. Si no sabes como hacer para ejecutarlo, es que no lo necesitas >:-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKFEGtTMYHG2NR9URAma+AJ9JVVux30QdkmQty9eL9z2pmLxrwwCfTI+x bxcmI09jFP0zaX59AdR/xxw= =X2xW -----END PGP SIGNATURE-----
El 12/05/08, Carlos E. R. escribió:
Ya lo he dicho dos veces, va la tercera. Porque el usuario que sabe donde buscar ese programa para ejecutarlo, tiene experiencia y sabe de que va. Tan simple como eso.
Si no sabes como hacer para ejecutarlo, es que no lo necesitas >:-)
Al contrario. - Al usuario que tiene permisos de root lo fuerzas a autenticarse como tal para hacer algo que bien puede hacer como usuario normal :-/ Pierdes seguridad. - Al usuario que no tiene permisos de root lo llevas a buscar por Google cómo acceder, o a conectarse a cualquier página web que permite hacer trazas o a bajarse e instalar cualquier programa que lo permita... No se consigue ningún objetivo. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 16:29 +0200, Camaleón escribió:
El 12/05/08, Carlos E. R. escribió:
Ya lo he dicho dos veces, va la tercera. Porque el usuario que sabe donde buscar ese programa para ejecutarlo, tiene experiencia y sabe de que va. Tan simple como eso.
Si no sabes como hacer para ejecutarlo, es que no lo necesitas >:-)
Al contrario.
- Al usuario que tiene permisos de root lo fuerzas a autenticarse como tal para hacer algo que bien puede hacer como usuario normal :-/
No necesita ser root para ejecutar ese comando.
- Al usuario que no tiene permisos de root lo llevas a buscar por Google cómo acceder, o a conectarse a cualquier página web que permite hacer trazas o a bajarse e instalar cualquier programa que lo permita...
Luego ya ha aprendido y merece poder usar esos programas >:-) Aparte de que es un diseño del 2000. ¿Existía internet entonces? Creo que no... :-p - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKFYltTMYHG2NR9URAkGNAJoC+CD084/PjJi1nqyN/XS5I+7bowCgieM+ 11tttSWpwQGaVyU8oSY/EQc= =PoVe -----END PGP SIGNATURE-----
El 12/05/08, Carlos E. R. escribió:
No necesita ser root para ejecutar ese comando.
Si que cuesta lo mismo hacerse root que poner la ruta completa, no compensa :-P
Luego ya ha aprendido y merece poder usar esos programas >:-)
¿Buscar en Google es garantía de "aprendizaje" y de "seguridad"? :-O
Aparte de que es un diseño del 2000. ¿Existía internet entonces? Creo que no... :-p
En el año 2000, en España... pse, algo había >:-) Pero en 1988 (del traceroute original) menos aún :-) *** The well known traceroute program has been written by Van Jacobson in December 1988. *** Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 12/05/08, Carlos E. R. escribió: Al contrario.
- Al usuario que tiene permisos de root lo fuerzas a autenticarse como tal para hacer algo que bien puede hacer como usuario normal :-/
Pierdes seguridad.
- Al usuario que no tiene permisos de root lo llevas a buscar por Google cómo acceder, o a conectarse a cualquier página web que permite hacer trazas o a bajarse e instalar cualquier programa que lo permita...
No se consigue ningún objetivo.
Saludos,
Buenas... Camaleón, esto no tiene que ver tan solo con seguridad, tiene que ver con administración, sólo eso, y perdona que te haga hacer esto, pero... haz esto: lista el contenido de /usr/bin /bin y /sbin verás que el directorio /sbin,(si bien descuento que tú ya lo conoces..) hay puras "herramientas" de sistema, en cambio en los "bin" las hay de uso común. Dicho otra manera: El usuario común, no necesita de ese directorio. O mejor dicho, es el sistema, quien no necesita que el cliente acceda a esas herramientas, además de "por la seguridad" Saludos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 12/05/08, Ricardo escribió:
Dicho otra manera: El usuario común, no necesita de ese directorio.
¡Claro que lo necesita! En algunos entornos (no servidores), el usuario común "suele" (debe) ser el mismo que el usuario root ... y ese comando en cuestión no precisa de esa seguridad... salvo que alguien me indique lo contrario que es al fin y al cabo lo que preguntaba en el mensaje original >:-) Además, ¿por qué consideras que la herramienta "traceroute" no es de uso común y "ping" sí lo es (ping está bajo /bin)? Vale que ping sea básica para comprobar la conectividad al iniciar el sistema, pero no por eso traceroute deja de ser una utilidad que use a diario :-? Yo lo uso "casi" a diario cuando no puedo conectar con una página web, por ejemplo, para ver si es un problema de rutas de mi isp o del host al que intento conectar...
O mejor dicho, es el sistema, quien no necesita que el cliente acceda a esas herramientas, además de "por la seguridad"
Por seguridad ya hemos visto que no... los usuarios tienen acceso de igual forma. Es decir, si se puede ejecutar ¿por qué complicarlo? :-? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Camaleón wrote:
El 12/05/08, Ricardo escribió:
¡Claro que lo necesita!
que no! :) a ver... mi mente está puesta en personal corporativo: el usuario común, necesita hacer ping, pero no fping (por ejemplo), no route, no SuSEconfig, no dhclient, etc.. eso es para los adminitradores El usuario común (en adelante "usuario") no necesita saber la ruta a un destino, solamente necesita llegar.
En algunos entornos (no servidores), el usuario común "suele" (debe) ser el mismo que el usuario root ... y ese comando en cuestión no precisa de esa seguridad... salvo que alguien me indique lo contrario que es al fin y al cabo lo que preguntaba en el mensaje original >:-)
que no es seguridad... es administración dime, que comando, traceroute? más de lo mismo que lo anterior
Además, ¿por qué consideras que la herramienta "traceroute" no es de uso común y "ping" sí lo es (ping está bajo /bin)? Vale que ping sea básica para comprobar la conectividad al iniciar el sistema, pero no por eso traceroute deja de ser una utilidad que use a diario :-? Yo lo uso "casi" a diario cuando no puedo conectar con una página web, por ejemplo, para ver si es un problema de rutas de mi isp o del host al que intento conectar...
xq yo, tú, y quienes más sean administradores en un dominio, no le decimos a un usuario, "haz un traceroute a google.com", no, no lo hacemos, ya sabemos cómo armamos la red, tenemos en mapa de la red en la cabeza, casi que dormimos con ella.. Con decirle haz ping a google... podemos determinar si tiene o no el cable de la ethernet desconectado, no necesitamos saber si su definición de gateway default está mal, porque no puede estarlo. "Yo lo uso "casi" a diario cuando no puedo conectar con una página web" Exacto! ése es el punto de porqué está en /sbin, porque tú tienes que determinar el porqué con conectas y pasar el ticket a tu isp, en cambio, el usuario, no, el no tiene que enterarse, no le incumbe, ese es tú trabajo..
Por seguridad ya hemos visto que no... los usuarios tienen acceso de igual forma.
Es decir, si se puede ejecutar ¿por qué complicarlo? :-?
Saludos,
Por eso, no es un tema de seguridad (es un cuestion de jerarquía de directorios -por eso hablamos administración y uso común)* *y es complicado, porque así lo armaron, así nació, y tú, como root de la red, le debes negar a usuario, acceder a ese directorio, si lo quieres empapar de seguridad al asunto. Saludos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 12/05/08, Ricardo escribió:
que no! :) a ver... mi mente está puesta en personal corporativo: el usuario común, necesita hacer ping, pero no fping (por ejemplo), no route, no SuSEconfig, no dhclient, etc.. eso es para los adminitradores El usuario común (en adelante "usuario") no necesita saber la ruta a un destino, solamente necesita llegar.
Ricardo, el usuario común del que hablas puede ser la misma persona que el usuario root. Yo no trabajo como usuario root, en este momento escribo como usuario "común". Aún así, considero factible el acceso a traceroute por parte de los usuarios, no veo qué peligrosidad hay en que lo ejecuten. En todo caso, dentro de /usr/sbin hay programas más comprometidos que pueden ser ejecutados por el "usuario común"... Además, creo que es un error fomentar los usuarios "dummy", es decir, usuarios que sólo pican texto y no saben ni qué ni dónde ni por qué. Cuando hay un problema, sencillo, no saben cómo reaccionar y el(los) administrador(es) puede(n) no estar disponible(s). ¿Qué haces entonces con los usuarios "dummy"? ¿Se para todo el trabajo porque no saben dónde están las cosas ni saben qué hacer? :-/
xq yo, tú, y quienes más sean administradores en un dominio, no le decimos a un usuario, "haz un traceroute a google.com", no, no lo hacemos, ya sabemos cómo armamos la red, tenemos en mapa de la red en la cabeza, casi que dormimos con ella.. Con decirle haz ping a google... podemos determinar si tiene o no el cable de la ethernet desconectado, no necesitamos saber si su definición de gateway default está mal, porque no puede estarlo.
¿Cómo que no? ¿Y si estás dando soporte remoto vía telefónica y no tienes acceso al equipo del usuario? Tienen que saber (y poder) ejecutar algunos comandos de diagnóstico... y te aseguro que "cantar" las rutas que son "un poco largas" por teléfono no es nada sencillo
:-)
*** Ring, ringggg... beep, beeeep. (admin) ... a ver, abre un terminal (dummy) ¿Un qué? (admin) el icono de la pantalla negra que tienes... (dummy) yo no tengo ese icono (admin) Pulsa sobre el camaleón (dummy) ¿Qué has dicho de un camión? (admin) no, el ca-ma-le-ón (dummy) Ah, sí, ya. "Eso verde". Vale. Ya está (admin) Vete a sistema / terminal / Konsole (dummy) Espera, espera... sis...te...ma ¿qué más? (admin) 8-) (dos horas más tarde...) (admin_echo polvo) Y ahora, escribe "/usr/sbin/traceroute..." (dummy) ¿dónde (y qué es) una barra "slash"?, ji, ji... qué cosas dices... (admin) es la tecla que tienes encima del nº 8 del teclado numérico.... (dummy) ah, ya está... me dice "comanche not fund" (admin_saliendo_del_sopor) ¿lo quéeee? (dummy) Pues eso, que me dice que "no ha fundido el comanche no-sé-qué del tracerut" (admin) Vale, mañana me paso por tu oficina para ver qué te pasa... *** :-P
Exacto! ése es el punto de porqué está en /sbin, porque tú tienes que determinar el porqué con conectas y pasar el ticket a tu isp, en cambio, el usuario, no, el no tiene que enterarse, no le incumbe, ese es tú trabajo..
No estoy de acuerdo. El usuario debe ser "mínimamente" responsable de su equipo. Tanto si está trabajando en una empresa o es un usuario doméstico tiene que conocer la herramienta que tiene entre manos.
Por eso, no es un tema de seguridad (es un cuestion de jerarquía de directorios -por eso hablamos administración y uso común)* *y es complicado, porque así lo armaron, así nació, y tú, como root de la red, le debes negar a usuario, acceder a ese directorio, si lo quieres empapar de seguridad al asunto.
Vuelvo a lo que decía al principio de este correo: yo soy root y yo soy usuario. No existe un entorno definido perfecto donde cada usuario tiene su rol predeterminado (root = root, usuario = usuario). Como administrador, si quieres impedir a un usuario ejecutar un programa concreto, no lo haces "ocultándole" la ruta al binario porque eso no es garantía de nada... salvo de problemas. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Camaleón wrote:
El 12/05/08, Ricardo escribió:
Ricardo, el usuario común del que hablas puede ser la misma persona que el usuario root. Yo no trabajo como usuario root, en este momento escribo como usuario "común".
Aún así, considero factible el acceso a traceroute por parte de los usuarios, no veo qué peligrosidad hay en que lo ejecuten. En todo caso, dentro de /usr/sbin hay programas más comprometidos que pueden ser ejecutados por el "usuario común"...
Además, creo que es un error fomentar los usuarios "dummy", es decir, usuarios que sólo pican texto y no saben ni qué ni dónde ni por qué. Cuando hay un problema, sencillo, no saben cómo reaccionar y el(los) administrador(es) puede(n) no estar disponible(s).
¿Qué haces entonces con los usuarios "dummy"? ¿Se para todo el trabajo porque no saben dónde están las cosas ni saben qué hacer? :-/
Que no es de seguridad, es de jerarquía de directorios!!! y lo pusieron en el directorio /sbin, para que tú puedas restringir el acceso a una herramienta que no le compete, que él tiene su hoja de cálculo y su cliente de correo para trabajar. (definición de usuario dummy <:) ) Imagínate tooodos los ejecutables en un mismo directorio, asignando permisos a cada uno, de acuerdo a la jerarquía de usuario.. naaaa y si puede acceder a /sbin (porque tú lo has definido así), ya deja de ser usuario, pasa a ser root y por ende a administrar el sistema (cambió de jerarquia porque tú lo quisiste)
¿Cómo que no? ¿Y si estás dando soporte remoto vía telefónica y no tienes acceso al equipo del usuario? Tienen que saber (y poder) ejecutar algunos comandos de diagnóstico... y te aseguro que "cantar" las rutas que son "un poco largas" por teléfono no es nada sencillo
:-)
No, conque haga ping, para tí, ya es suficiente, de vuelta, tú ya conoces de memoria cual es la ruta a cualquier lugar.
*** Ring, ringggg... beep, beeeep.
(admin) ... a ver, abre un terminal (dummy) ¿Un qué? (admin) el icono de la pantalla negra que tienes... (dummy) yo no tengo ese icono (admin) Pulsa sobre el camaleón (dummy) ¿Qué has dicho de un camión? (admin) no, el ca-ma-le-ón (dummy) Ah, sí, ya. "Eso verde". Vale. Ya está (admin) Vete a sistema / terminal / Konsole (dummy) Espera, espera... sis...te...ma ¿qué más? (admin) 8-)
(dos horas más tarde...)
(admin_echo polvo) Y ahora, escribe "/usr/sbin/traceroute..." (dummy) ¿dónde (y qué es) una barra "slash"?, ji, ji... qué cosas dices... (admin) es la tecla que tienes encima del nº 8 del teclado numérico.... (dummy) ah, ya está... me dice "comanche not fund" (admin_saliendo_del_sopor) ¿lo quéeee? (dummy) Pues eso, que me dice que "no ha fundido el comanche no-sé-qué del tracerut" (admin) Vale, mañana me paso por tu oficina para ver qué te pasa... ***
:-P
Valioso, entonces, ése es un usuario al que no le corresponde acceder siquiera al botón de apagado, xq si puede esperar al otro día...jejeje, imagínate que pueda ejecutar alguna otra aplicación de la misma jerarquía?
No estoy de acuerdo. El usuario debe ser "mínimamente" responsable de su equipo. Tanto si está trabajando en una empresa o es un usuario doméstico tiene que conocer la herramienta que tiene entre manos.
Ni se te ocurra,no es válido eso (a mi entender, no lo tomes a mal) eso no vale para ningún sistema operativo. El tipo se tiene que sentar y ver que todo le funcione, si algo no le anda, ahí vas tú con tu capa y tu sable..
Vuelvo a lo que decía al principio de este correo: yo soy root y yo soy usuario. No existe un entorno definido perfecto donde cada usuario tiene su rol predeterminado (root = root, usuario = usuario).
Excelente e inválido al mismo tiempo, la perfección no existe, y no se puede solicitar. Y me suena similar a una instalación standard de debian (y derivados) en el que root no puede iniciar en modo gráfico!
Como administrador, si quieres impedir a un usuario ejecutar un programa concreto, no lo haces "ocultándole" la ruta al binario porque eso no es garantía de nada... salvo de problemas.
Para eso, están las definiciones de seguridad de directorios.
Saludos,
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 14:59 -0300, Ricardo escribió:
Imagínate tooodos los ejecutables en un mismo directorio, asignando permisos a cada uno, de acuerdo a la jerarquía de usuario.. naaaa y si puede acceder a /sbin (porque tú lo has definido así), ya deja de ser usuario, pasa a ser root y por ende a administrar el sistema (cambió de jerarquia porque tú lo quisiste)
No señor, el directorio /sbin es accesible para todos los usuarios. Miralo tu mismo, tiene permisos "drwxr-xr-x". Eso no lo hemos modificado, viene así de fábrica. Y sí, si quieres restringir permisos tienes que hacerlo tú uno a uno. O usar el "/etc/permissions.secure", que hace eso precisamente, cambiar los permisos de unos cuantos binarios uno a uno. O usar ACLs.
¿Cómo que no? ¿Y si estás dando soporte remoto vía telefónica y no tienes acceso al equipo del usuario? Tienen que saber (y poder) ejecutar algunos comandos de diagnóstico... y te aseguro que "cantar" las rutas que son "un poco largas" por teléfono no es nada sencillo :-)
No, conque haga ping, para tí, ya es suficiente, de vuelta, tú ya conoces de memoria cual es la ruta a cualquier lugar.
Ni hablar, porque no sabes en cual de las posibles rutas que sabes que existen se está atascando. Y porque el ping da info de si llega o no llega, mientras que el traceroute además te informa del nodo en el que se para - lo cual no tiene nada que ver con conocer de antemano la ruta. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKJhdtTMYHG2NR9URAkIAAKCEZ8Igmk832VTfLIzNhQNDHjyYMgCgkmQl LrhwM5PK3tK5SPz8qRXVF9w= =G8xd -----END PGP SIGNATURE-----
Carlos E. R. wrote:
El 2008-05-12 a las 14:59 -0300, Ricardo escribió:
Imagínate tooodos los ejecutables en un mismo directorio, asignando permisos a cada uno, de acuerdo a la jerarquía de usuario.. naaaa y si puede acceder a /sbin (porque tú lo has definido así), ya deja de ser usuario, pasa a ser root y por ende a administrar el sistema (cambió de jerarquia porque tú lo quisiste)
No señor, el directorio /sbin es accesible para todos los usuarios. Miralo tu mismo, tiene permisos "drwxr-xr-x". Eso no lo hemos modificado, viene así de fábrica.
Y sí, si quieres restringir permisos tienes que hacerlo tú uno a uno. O usar el "/etc/permissions.secure", que hace eso precisamente, cambiar los permisos de unos cuantos binarios uno a uno. O usar ACLs.
¿Cómo que no? ¿Y si estás dando soporte remoto vía telefónica y no tienes acceso al equipo del usuario? Tienen que saber (y poder) ejecutar algunos comandos de diagnóstico... y te aseguro que "cantar" las rutas que son "un poco largas" por teléfono no es nada sencillo :-)
No, conque haga ping, para tí, ya es suficiente, de vuelta, tú ya conoces de memoria cual es la ruta a cualquier lugar.
Ni hablar, porque no sabes en cual de las posibles rutas que sabes que existen se está atascando.
Y porque el ping da info de si llega o no llega, mientras que el traceroute además te informa del nodo en el que se para - lo cual no tiene nada que ver con conocer de antemano la ruta.
-- Saludos Carlos E.R.
Pero es que tú lo conoces de antemano, a eso iba, no necesitas al usuario final, remotamente, para saber si tiene o no conexión a la red, porque tú la administras --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 17:21 -0300, Ricardo escribió:
Pero es que tú lo conoces de antemano, a eso iba, no necesitas al usuario final, remotamente, para saber si tiene o no conexión a la red, porque tú la administras
Puede que la administre o puede que no. Por ejemplo si el problema es en su isp, no la administro; y necesito saber si se el está cortando en su red local o la remota. Tu estás pensando en la intranet de una empresa; pero ese no es el único caso de soporte. O puede ser una empresa muy muy grande donde yo sólo controlo una pequeña parte, y necesite saber en qué parte se está cortando. Es más, puede que a mí me funcione y a él no. O puede ser un roadwarrior que no logra conectarse a la intranet desde el hotel en GranCanaria, y que cuando está en el hotel en Malaga sí le funciona. No me voy a ir a las islas para probar yo. El traceroute da una información que no da el ping: te dice donde se corta. Y hay veces que sólo se puede obtener desde su lado. El ponerlo en ese directorio no es por seguridad, porque un usuario normal puede usarlo sin problemas, simplemente sabiendo donde está. Es una máxima conocida de la seguridad que la simple ocultación es una falsa seguridad, porque el que lleve malas intenciones lo encontrará. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKL3mtTMYHG2NR9URApLqAKCY2jnmWbIGd2zCEXyFa2+k4Kb7LwCfTyD+ b8BGjaOPVyrGBw8pYrOSTZw= =nJ+H -----END PGP SIGNATURE-----
Carlos E. R. wrote:
El 2008-05-12 a las 14:59 -0300, Ricardo escribió:
Imagínate tooodos los ejecutables en un mismo directorio, asignando permisos a cada uno, de acuerdo a la jerarquía de usuario.. naaaa y si puede acceder a /sbin (porque tú lo has definido así), ya deja de ser usuario, pasa a ser root y por ende a administrar el sistema (cambió de jerarquia porque tú lo quisiste)
No señor, el directorio /sbin es accesible para todos los usuarios. Miralo tu mismo, tiene permisos "drwxr-xr-x". Eso no lo hemos modificado, viene así de fábrica.
Y sí, si quieres restringir permisos tienes que hacerlo tú uno a uno. O usar el "/etc/permissions.secure", que hace eso precisamente, cambiar los permisos de unos cuantos binarios uno a uno. O usar ACLs.
Si, sabemos que es accesible por todos, pero esa no es la discusión. no se estaba hablando de permisos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Ricardo escribió:
Buenas... Camaleón, esto no tiene que ver tan solo con seguridad, tiene que ver con administración,
Tibio, tibio.. :) ojala fuera asi de simple de explicar.. hehehe, en la realidad es harto mas complicado que "por seguridad" o por "razones administrativas" -- "Progress is possible only if we train ourselves to think about programs without thinking of them as pieces of executable code.” - Edsger W. Dijkstra Cristian Rodríguez R. Platform/OpenSUSE - Core Services SUSE LINUX Products GmbH Research & Development http://www.opensuse.org/ --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Cristian Rodríguez wrote:
Tibio, tibio.. :) ojala fuera asi de simple de explicar.. hehehe, en la realidad es harto mas complicado que "por seguridad" o por "razones administrativas"
Y si empiezas, vamos viendo qué quieres decir... pá mí, es lo que está ya documentado, que a quien se le ocurrió poner este ejecutable acá, y éste otro allá pensando únicamente en jerarquías de administraciion y así lo dejaron. xq si de seguridad se trata, debieron haber negado el compilador y los intérpretes a todo el mundo, así nadie vaya a escribirse algún programa malicioso. Recuerda, estamos hablando del porqué una aplicación está en tal directorio que a priori, está oculto a un usuario común.. --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hay bastantes comandos en el /sbin que realmente no requieren privilegios para ejecutarse.
- -rwxr-xr-x 1 root root 18276 2007-09-22 00:07 /usr/sbin/traceroute*
Cierto...
La cuestión sería, pues:
a) Por qué, "traceroute" es un programa considerado para ser ejecutado por el usuario root (y por eso está bajo /usr/sbin)
* Traceroute y los demas estan bajo /usr/sbin por que son comandos administrativos "NO fundamentales" para el manejo del sistema si no estarian bajo /sbin , cualquier ejemplo de incongruencia o excepcion es solo eso.
b) Y por qué, si lo puede ejecutar el usuario, no ponerlo accesible en sus rutas ($path)
* Lo podra ejecutar si se tiene una configuracion de permisos baja o media y umask general del tipo 022, los usuarios en general no deberian de poder ejecutar comandos de /usr/sbin si no es mediante la configuracion personalizada de sudo, el $PATH general ha de ser restrictivo y limitarse a que los binarios esten en el lugar LSB, el problema es que con la moralina de es dificil, no me va y yo soy el unico usuario, actualmente se ha de dedicar dias a restringir accesos (con el consiguiente problema de seguridad), cuando antes se dedicaban a dar accesos autorizados y a peticion que es lo normal en un SO decente.
Camaleón escribió:
¿Por qué la utilidad "traceroute" se debe ejecutar como usuario root?
Porque utiliza una funcionalidad del sistema operativo llamada "raw sockets" {1} la cual require privilegios de root para ser utilizada. {1} http://en.wikipedia.org/wiki/Raw_socket -- "Progress is possible only if we train ourselves to think about programs without thinking of them as pieces of executable code.” - Edsger W. Dijkstra Cristian Rodríguez R. Platform/OpenSUSE - Core Services SUSE LINUX Products GmbH Research & Development http://www.opensuse.org/
2008/5/12, Cristian Rodríguez:
Porque utiliza una funcionalidad del sistema operativo llamada "raw sockets" {1} la cual require privilegios de root para ser utilizada.
Eso tendría sentido si el usuario local "no" pudiera ejecutarlo :-? Explica un poco más, anda, que es bien interesante O:-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Camaleón escribió:
Eso tendría sentido si el usuario local "no" pudiera ejecutarlo :-?
Una cosa es que lo pueda ejecutar y la otra diferente es que lo pueda utilizar correctamente. -- "Progress is possible only if we train ourselves to think about programs without thinking of them as pieces of executable code.” - Edsger W. Dijkstra Cristian Rodríguez R. Platform/OpenSUSE - Core Services SUSE LINUX Products GmbH Research & Development http://www.opensuse.org/
El 12/05/08, Cristian Rodríguez escribió:
Una cosa es que lo pueda ejecutar y la otra diferente es que lo pueda utilizar correctamente.
Más, más... explica más :-) Concretamente ese "correctamente"... ¿qué quiere decir? ¿qué no tiene acceso a funciones "x" de bajo nivel del kernel cuando se ejecuta como usuario local? :-? ¿Entonces por qué no ponerlo "capado" pero "accesible" en una ruta a la que tenga acceso el usuario? Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 21:06 +0200, Camaleón escribió:
El 12/05/08, Cristian Rodríguez escribió:
Una cosa es que lo pueda ejecutar y la otra diferente es que lo pueda utilizar correctamente.
Más, más... explica más :-)
Concretamente ese "correctamente"... ¿qué quiere decir? ¿qué no tiene acceso a funciones "x" de bajo nivel del kernel cuando se ejecuta como usuario local? :-?
Es fácil que haya alguna opción que sí requiera ser root.
¿Entonces por qué no ponerlo "capado" pero "accesible" en una ruta a la que tenga acceso el usuario?
Pero puedes perfectamente añadir /sbin al path de tu usuario, que hacen bastantes admins para ahorrarse escribirlo. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKJmctTMYHG2NR9URAiJQAJ9u+j6IJG7LN6MiC8PQUXgC4hClKwCcDDgS KhsyGunsEwS7U1grTX5bER4= =0E3g -----END PGP SIGNATURE-----
Camaleón escribió:
Más, más... explica más :-)
:-)
Concretamente ese "correctamente"... ¿qué quiere decir? ¿qué no tiene acceso a funciones "x" de bajo nivel del kernel cuando se ejecuta como usuario local? :-?
Puede que el usuario ejecute el programa con funcionalidad reducida o que simplemente no funcione, no es realmente "por seguridad " que estan ahi..
¿Entonces por qué no ponerlo "capado" pero "accesible" en una ruta a la que tenga acceso el usuario?
heh, los binarios que estan en /bin /sbin y las bibliotecas que estan en /lib o /lib64 estan ahi porque son vitales para ciertas tareas en el caso que /usr este en un servidor remoto lo cual solo se monta cuando el acceso a la red esta activo..(problema "huevo-gallina" no tenemos binarios, como levantamos la red entonces ? :D ) o por "tradicion" para no romper la compatibilidad hacia atras, las reglas del LSB o de "estandares" similares. -- "Progress is possible only if we train ourselves to think about programs without thinking of them as pieces of executable code.” - Edsger W. Dijkstra Cristian Rodríguez R. Platform/OpenSUSE - Core Services SUSE LINUX Products GmbH Research & Development http://www.opensuse.org/
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 23:22 -0400, Cristian Rodríguez escribió:
Puede que el usuario ejecute el programa con funcionalidad reducida o que simplemente no funcione, no es realmente "por seguridad " que estan ahi..
En este caso funciona, pero es posible que alguna de las opciones no funcione. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKWu5tTMYHG2NR9URApzGAJ4yTiGGs24hIJvcj8n2gA7NZ+SLgwCdE2z0 NyxUf/6iQdiUcnFSh8WxIdI= =5i4v -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-05-12 a las 13:28 -0400, Cristian Rodríguez escribió:
Camaleón escribió:
¿Por qué la utilidad "traceroute" se debe ejecutar como usuario root?
Porque utiliza una funcionalidad del sistema operativo llamada "raw sockets" {1} la cual require privilegios de root para ser utilizada.
Sin embargo funciona como usuario normal y corriente. Es posible que alguna de las opciones sí necesite eso, pero así a botepronto no se cual será. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFIKJLptTMYHG2NR9URAn1wAJ9EOPZ2SV/FuN3N8XMDgRP9t5EDbwCghg6F /UqPjj30DSp9SXUD3nPwyyk= =KqiK -----END PGP SIGNATURE-----
participants (6)
-
[Rafa Toucedo]
-
Camaleón
-
Carlos E. R.
-
Cristian Rodríguez
-
jose maria
-
Ricardo