C'è un vantaggio in termini di sicurezza nell'usare una shell diversa per l'account root, sia un programma shell rinforzato, sia semplicemente un binario della shell memorizzato in una posizione non standard?
C'è un vantaggio in termini di sicurezza nell'usare una shell diversa per l'account root, sia un programma shell rinforzato, sia semplicemente un binario della shell memorizzato in una posizione non standard?
Dipende. Se c'è un diverso set di attacchi che può sostituire /bin/bash
rispetto ad altri file sul tuo filesystem, allora forse c'è un caso. Ho usato per rendere la mia shell di root su Solaris un /bin/sh
collegato staticamente. Il motivo era che /usr/lib
era su un disco fisico diverso da /
, quindi in modalità utente singolo potrebbe non essere possibile avviare una shell collegata dinamicamente. Il fatto che questo evitasse anche di toccare qualsiasi oggetto condiviso compromesso era semplicemente un effetto collaterale.
In altre parole, se /bin/bash
e la tua shell radice alternativa proposta si trovano sulla stessa partizione, con autorizzazioni simili, probabilmente non c'è molto da fare. Un malintenzionato che può trojan uno può trojan entrambi.
Leggi altre domande sui tag operating-systems linux authentication