10. Korzystanie z PPP, a uprawnienia administratora

Ponieważ PPP musi skonfigurować urządzenia sieciowe, zmodyfikować tabele routingu itp. musi wtedy posiadać uprawnienia administratora.

Jeśli połączenie PPP zestawia użytkownik inny niż root, wtedy program pppd musi mieć ustawiony bit setuid i należeć do aministratora (setuid root) :-

-r-sr-xr-x   1 root     root        95225 Jul 11 00:27 /usr/sbin/pppd

Jeśli /usr/sbin/pppd nie ma takich atrybutów, musisz jako administrator (root) wydać polecenie :-

chmod u+s /usr/sbin/pppd

Powuższe polecenie umozliwia uruchomienie programu pppd z uprawnieniami administratora nawet przez zwykłego użytkwonika. W ten sposób zwykły użytkownik może zainicjować połączenie PPP, a sam program będzie posiadał odpowiednie uprawnienia do skonfigurowania urządzeń sieciowych i modyfikacji tabeli routingu.

Programy z ustawionym bite, suid są potencjalnymi dziurami w systemie zabezpieczeń i powinieneś być niesłychanie ostrożny w ustawianiu biru suid dla programów, których właścicielem jest administrator (root). Cześć programów (włączając pppd) była napisana ze specjalnym uwzglednieniem minimalizowania niebezpieczeństwa wykoklego z wykonywania tego programu jako administrator, więc powinieneś tym razem czuć się bezoieczny (choć nie dajemy żadnych gwarancji).

W zależności od sposobu pracy twojego systemu - sczegołnie jeśli chesz umożliwić KAŻDEMU użytkownikowi twojego systemu inicjowanie połączeń PPP powinieneś zmienić atrybuty sktyptów do włączania/wyłączania PPP tak, aby te pliki mogły byc czytane i wykonywane przez wszystkich.

Jednakże jeśli NIE chcesz aby każdy mogł uruchomić PPP (np twoje dzieci posiadają konta na twoim komputerze i nie chesz aby podłaczały się do internetu bez twojego nadzoru) musisz utworzyć odzielna grupę PPP (zmień plik /etc/group) a następnie:-

• Zmień wlaściciela i grupę skryptów ppp-on/off na root,PPP
• Zmień atrybuty plików ppp-on/off aby mogły być czytane/uruchamiane tylko przez właścićiela i członków grupy

    -rwxr-x---   1 root     PPP           587 Mar 14  1995 /usr/sbin/ppp-on
    -rwxr-x---   1 root     PPP           631 Mar 14  1995 /usr/sbin/ppp-off
  

• Wyłącz pozostalym wszelkie prawa dostępu do tych plików.
• dodaj do grupy PPP (plik /etc/group) użytkowników, którzy są uprawnieni do zestawiania połączenia PPP.

Nawet jeśli tak postąpisz, zwykli użytkownicy NADAL nie będą w stanie zamknąć połączenia PPP!. Pamiętaj, że kązdy może wyłączyć modem.

Na moim domowym PC NIE ustawiam bitu suid dla pppd. Abyuruchomić połączenie muszę zalogować sie jako administrator - czyli znać hasło. W ten sposób kontroluję dostęp mojego syna do Internetu.