Voor uw gemak implementeert KDE su de functie “wachtwoord onthouden” functie. Als u geïnteresseerd bent in beveiliging, lees dan deze alinea.
Als u KDE su wachtwoorden laat onthouden opent u een (klein) beveiligingsgat in uw systeem. Het is duidelijk dat KDE su niet iemand anders dan uw eigen gebruikers-id toestaat om de wachtwoorden te gebruiken, maar, als het zonder voorzichtigheid gedaan is, zal dit de beveiliging van root
verlagen tot het niveau van een normale gebruiker (u). Een cracker die in uw account breekt zal dan root
-toegang kunnen krijgen. KDE su probeert dit te voorkomen. Het beveiligingsschema dat wordt gebruikt, is in onze ogen vrij veilig en wordt hieronder uitgelegd.
KDE su gebruikt een daemon, genaamd kdesud. De daemon luistert voor commando's naar een UNIX®-socket in /tmp
. De mode van de socket is 0600, zodat alleen uw gebruikers-id ermee kan verbinden. Als wachtwoorden onthouden is ingeschakeld zal KDE su commando's uitvoeren door deze daemon. Het schrijft het commando en het root
-wachtwoord naar de socket en de daemon voert het commando uit met behulp van su, zoals hierboven is omschreven. Hierna worden het commando en het wachtwoord niet weggegooid. Ze worden voor een bepaalde tijd bewaard. Dit is de tijdslimietwaarde in de configuratiemodule. Als een andere oproep voor hetzelfde commando in deze periode gedaan wordt zal de client het wachtwoord niet hoeven te geven. Om crackers die in uw account gebroken hebben niet de wachtwoorden van de daemon te laten stelen (bijvoorbeeld, door middel van een debugger), is de daemon geïnstalleerd in set-group-id nogroup. Dit zal ervoor zorgen dat alle normale gebruikers (inclusief u) geen wachtwoorden uit het kdesud -roces kunnen halen. De daemon zet ook de DISPLAY
omgevingsvariabele gelijk aan de waarde die het had toen het gestart werd. Het enige dat een cracker kan doen is een programma in het huidige scherm uitvoeren.
Een zwakke plek in dit schema is dat programma's die u uitvoert waarschijnlijk niet geschreven zijn met beveiliging in gedachte (zoals bij setuid root
programma's). Dit betekent dat ze buffer overruns of andere problemen zouden kunnen hebben waarvan een cracker gebruik kan maken.
Het gebruik van de functie wachtwoord onthouden is een afweging van comfort tegen beveiliging. Wij adviseren u om er goed over na te denken en om zelf te besluiten of u het al dan niet wilt gebruiken.