<chapter id="security"> <title ><application >КППП</application > и питања безбедности</title> <para >Ова секција је углавном намењена суперкорисницима (<systemitem >root</systemitem >) с високим безбедносним захтевима, или просто заинтересованима за технику. Нема потребе да ово читате ако Линукс користите сами код куће, мада бисте и тада могли понешто научити.</para> <sect1 id="security-restricting-access"> <title >Ограничавање приступа <application >КППП‑у</application ></title> <para >Администратор система може желети да ограничи приступ, тј. одреди коме је дозвољено да користи <application >КППП</application >. Ово се може постићи на два начина.</para> <sect2 id="security-group-permissions"> <title >Ограничење приступа преко групних дозвола</title> <para >Створите нову групу (можете је назвати нпр. <systemitem >dialout</systemitem >) и ставите сваког корисника коме треба да буде дозвољено коришћење <application >КППП‑а</application > у ту групу. Затим упишите у терминалу:</para> <screen ><prompt >#</prompt > <userinput ><command >chown</command > <option >root.dialout</option > <filename >/opt/kde/bin/kppp</filename ></userinput> <prompt >#</prompt > <userinput ><command >chmod</command > <option >4750</option > <filename >/opt/kde/bin/kppp</filename ></userinput > </screen> <para >Ово претпоставља да је инсталација <acronym >КДЕ‑а</acronym > у <filename class="directory" > /opt/kde/</filename > и да сте групу назвали <systemitem >dialout</systemitem >.</para> </sect2> <sect2 id="security-kppps-way"> <title >Ограничење приступа преко <application >КППП‑а</application ></title> <para >Пре него што ишта друго уради, <application >КППП</application > проверава да ли постоји фајл по имену <filename >/etc/kppp.allow</filename >. Ако постоји, само корисници наведени у њему имају право да позивају. Овај фајл мора свакоме бити читљив (али наравно <emphasis >не</emphasis > и уписив). Препознају се само корисничка имена, тј. не можете користити УИД‑ове у овом фајлу. Ево кратког примера:</para> <screen ># /etc/kppp.allow # Коментари попут овог се игноришу, # као и празни редови. ~|pera laza mara| </screen> <para >У горњем примеру, позивање је дозвољено само корисницима <systemitem >pera</systemitem >, <systemitem >laza</systemitem > и <systemitem >mara</systemitem >, као и кориснику са УИД‑ом 0 (те не треба изричито да наводите <systemitem >root</systemitem > у фајлу).</para> </sect2> </sect1> <sect1 id="security-why-suid"> <title ><application >КППП‑у</application > је постављен сУИД? А безбедност?</title> <para >Готово је немогуће написати бирач бројева без сУИД бита који је и безбедан и лак за коришћење неискусним корисницима. <application >КППП</application > се носи са безбедносним проблемима на следећи начин.</para> <itemizedlist> <listitem> <para >Одмах по покретању програма, <application >КППП</application > се рачва. </para> </listitem> <listitem> <para >Главни процес, који рукује свим ГУИ поступцима (попут интеракције са корисником), после рачвања уклања сУИД стање, настављајући рад са овлашћењима обичног корисника. </para> </listitem> <listitem> <para >Подређени процес задржава своја овлашћења, и надлежан је за све радње које захтевају корена овлашћења. Да би се овај део одржао безбедним, не користи се ниједан позив из библиотеке <acronym >КДЕ‑а</acronym > или КуТ‑а, већ само основни позиви. Изворни код за овај процес је кратак (око 500 редова) и добро документован, тако да можете и сами потражити безбедносне рупе у њему.</para> </listitem> <listitem> <para >Главни и подређени процес комуницирају стандардним уникс ИПЦ‑ом.</para> </listitem> </itemizedlist> <para >Много хвала <personname ><firstname >Харију</firstname > <surname >Портену</surname ></personname >, који је написао овај изврсни код. Сматрало се немогућим, а он је то завршио за недељу дана. </para> </sect1> </chapter>
