KDE su käsiraamat4.5 (2010-09-21)
Autoriõigus © 2000 Geert Jansen
KDE su on UNIX® käsu su graafiline kasutajaliides.
Sisukord
SissejuhatusTere tulemast kasutama KDE su'd! KDE su on UNIX® käsu su graafiline kasutajaliides KDE töölaua keskkonnas.See võimaldab käivitada rakendusi teise kasutajana, andes vastava kasutaja parooli. KDE su on privileegideta rakendus, see kasutab süsteemi käsku su.
KDE su'l on aga üks lisavõimalus: ta võib parooli sinu eest meeles pidada. Seda võimalust kasutades tuleb parool sisestada ainult üks kord. Sellest räägib lähemalt “Parooli meeldejätmine”, kus on ka hinnatud selle turvalisust.
Rakendust saab käivitada käsurealt või .desktop-faile avades. Kuigi see pärib administraatori (root) parooli GUI dialoogis, pean ma ise seda rohkem käsurea <-> GUI seguks kui puhtaks GUI rakenduseks.
Et kdesu ei ole enam paigaldatud asukohta $(kde4-config --prefix)/bin, vaid hoopis kde4-config --path libexec ning ei asu seetõttu sinu otsinguteel (Path), tuleb kdesu käivitamiseks anda käsk $(kde4-config --path libexec)kdesu.
KDE su kasutaminekdesu; kasutamine on väga lihtne. Süntaks näeb välja selline:
kdesu [-c käsk] [-d] [-f fail] [-i ikooni nimi] [-n] [-p prioriteet] [-r] [-s] [-t] [-u user] [--noignorebutton] [--attach akna ID]
kdesu [KDE üldised võtmed] [Qt™ üldised võtmed]
Käsurea võtmeid selgitatakse allpool.
-ckäskMäärab käsu käivitama administraatori õigustes. See tuleb anda ühe argumendina. Kui näiteks soovid käivitada uut failihaldurit, tuleb käsureale kirjutada
$(kde4-config --path libexec)kdesu-cDolphin-dNäitab silumisinfot.
-ffailVõimaldab kasutada KDE su'd tõhusalt
.desktop-failide puhul, käskides KDE su'l uurida faili, mille nimi on antud parameetrigafail. Kui käsuandjal on sellel failil kirjutamisõigus, käivitab KDE su faili kasutaja õigustes. Kui aga mitte, käivitatakse käsk kasutajanakasutaja(vaikimisi administraator).Parameetrit
failhinnatakse järgmiselt: kuifailalgab märgiga/, on see absoluutne failinimi. Muul juhul peetakse seda KDE globaalse seadistustefaili nimeks.-iikooni nimiMäärab paroolidialoogis kasutatava ikooni nime. Määrata võib ka ainult nime, ilma faililaiendita.
Näiteks Konquerori käivitamiseks failihalduri režiimis ja Konquerori ikooni näitamiseks paroolidialoogis:
$(kde4-config --path libexec)kdesu-i konqueror-c "konqueror --profile filemanagement"-nParooli ei jäeta meelde. See keelab paroolidialoogis märkekasti Parool jäetakse meelde.
-pprioriteetMäärab prioriteedi. Prioriteet on suvaline arv vahemikus 0 kuni 100, kusjuures 100 tähendab kõrgeimat ja 0 madalaimat prioriteeti. Vaikeväärtus on 50.
-rKasutatakse reaalaja planeerijat.
-sPeatab kdesu deemoni. Lähemalt räägib sellest “Parooli meeldejätmine”.
-tVõimaldab terminaliväljundi ning tühistab parooli säilitamise võimaluse. See on peamiselt mõeldud silumiseks, kui soovid käivitada konsoolirežiimis rakendust, kasuta parem tavapärast su käsku.
-ukasutajaKuigi KDE su kõige levinum tarvitamine on käsu käivitamine administraatori õigustes, võib määrata suvalise kasutajanime ja vastava parooli.
SiseeluKäivitatav rakendus töötab administraatori ID-ga ning üldiselt ei ole sel ligipääsuõigust X'ile. KDE su saab sellest aga üle, lisades autentimisküpsise ajutisele .Xauthority-failile. Käsu lõppemisega fail kustutatakse.
Kui sa X'i küpsiseid ei kasuta, ei ole midagi teha. KDE su avastab selle ega lisa küpsist, aga siis pead ise tagama, et administraatoril oleks ligipääs X'i seansile.
su liidesKDE su kasutab privileegide hankimiseks süsteemi su käsku. Siin seletan lähemalt, kuidas KDE su seda teeb.
Kuna mõned su versioonid (st. seesamune Red Hat® oma) ei taha parooli lugeda stdin-ist, loob KDE su pty/tty paari ning käivitab su standardsete tty-ga seotud failikirjendajatega.
Kasutaja antud käsu käivitamiseks kasutab KDE su su juures võtit -c. Seda argumenti tunnistavad kõik shellid, mida ma vähegi tean, nii et see peaks kõikjal toimima. su edastab argumendi -c sihtshellile ning see käivitab rakenduse. Näide: su root -c.rakendus
Selle asemel, et käivitada kasutaja antud käsk vahetult su-ga, käivitab KDE su väikese tüverakenduse nimetusega kdesu_stub. See tüvi (töötab sihtkasutajana) nõuab KDE sult mõningat infot pty/tty kanali kaudu (tüve stdin ja stdout) ning käivitab siis kasutaja rakenduse. Saadetavaks infoks on: X'i seanss, X'i autentimisküpsis (kui on olemas), muutuja PATH ja käivitatav käsk. Tüve kasutamise põhjuseks on see, et X'i küpsis kujutab endast varjatud infot, mida ei saa edastada käsureal.
Parooli meeldejätminePuhtalt kasutaja mugavuse huvides kasutab KDE su võimalust “parool jäetakse meelde”. Kui sulle on aga oluline turvalisus, peaksid selle osa hoolikalt läbi lugema.
Luba KDE su'l parooli säilitada avab (kuigi väikese) turvaaugu sinu süsteemis. On selge, et KDE su lubab paroole kasutada ainult sinu kasutaja-ID-ga, kuid kui siin ettevaatlikkust ei ilmutata, võrdsustab see administraatori (root) turvataseme tavakasutaja omaga. Sinu kontole sisse murdev häkker saab sel moel muidu administraatorile lubatud õigused. KDE su püüab seda vältida. Kasutatav turvaskeem on vähemalt minu hinnangul mõistuse piires turvaline.
KDE su kasutab deemonit nimetusega kdesud. See deemon uurib UNIX® soklit /tmp-s käskude saamiseks. Sokli režiim on 0600, nii et sellega saab ühendust ainult kasutaja ID-ga. Kui parooli meeldejätmine on lubatud, käivitab KDE su käsud deemoni kaudu. See kirjutab käsu ja administraatori parooli soklile ning deemon käivitab käsu su abil, nagu eespool kirjeldatud. Seejärel ei kustutata kohe käsku ja parooli, vaid need hoitakse teatud aeg alles. See ongi seadistusmoodulis määratav aegumisväärtus. Kui selle jooksul saabub sama käsk uuesti, ei ole kliendil vaja parooli uuesti sisestada. Häkkerite eemalhoidmiseks, kes võivad sinu kontole sisse murda ja deemonilt paroole varastada (näiteks seda silujaga ühendades), on deemon loonud set-group-id nogroup'i. See peaks takistama kõigil tavakasutajatel (ka sinul endal) hankimast paroole kdesud protsessilt. Deemon määrab ka keskkonnamuutuja DISPLAY väärtuseks käivitusaegse väärtuse. Sellisel juhul on ainus asi, mida häkker saab teha, rakenduse käivitamine sinu seansis.
Selle skeemi nõrgaks kohaks on asjalu, et rakendused, mida sa käivitad, et ole tõenäoliselt loodud turvalisust silmas pidades (nagu setuid root rakendused). See tähendab, et neil võib esineda puhvri ületäide või muid probleeme, mida häkkerid saavad ära kasutada.
Parooli meeldejätmise võimalus on kompromiss turvalisuse ja mugavuse vahel. Soovitan väga tungivalt sellele mõelda ja ise otsustada, kas seda kasutada või mitte.
AutorKDE su
Autoriõigus 2000: Geert Jansen
KDE su kirjutas Geert Jansen. Selle aluseks on mõneti Pietro Iglio KDE su versioon 0.3, Me leppisime Pietroga kokku, et edaspidi olen selle hooldaja mina.
Autoriga saab ühendust võtta meilitsi: (g.t.jansen AT stud.tue.nl). Palun anna mulle teada kõigist leitud vigadest, et saaksin need ära parandada. Aga kirjuta ka siis, kui sul on hea mõte, kuidas midagi võiks paremaks muuta.
Tõlge eesti keelde: Marek Laane (bald AT smail.ee)
Käesolev dokumentatsioon on litsenseeritud vastavalt GNU Vaba Dokumentatsiooni Litsentsi tingimustele.
Käesolev programm on litsenseeritud vastavalt Artistic litsentsi tingimustele.