<othercredit role="translator"><firstname>Marek</firstname><surname>Laane</surname><affiliation><address><email>bald@starman.ee</email></address></affiliation><contrib>Tõlge eesti keelde</contrib></othercredit>
<para>Tere tulemast kasutama &tdesu;'d! &tdesu; on &UNIX; käsu <command>su</command> graafiline kasutajaliides KDE töölaua keskkonnas.See võimaldab käivitada rakendusi teise kasutajana, andes vastava kasutaja parooli. &tdesu; on privileegideta rakendus, see kasutab süsteemi käsku <command>su</command>.</para>
<para>&tdesu;'l on aga üks lisavõimalus: ta võib parooli sinu eest meeles pidada. Seda võimalust kasutades tuleb parool sisestada ainult üks kord. Sellest räägib lähemalt <xref linkend="sec-password-keeping"/>, kus on ka hinnatud selle turvalisust.</para>
<para>Rakendust saab käivitada käsurealt või <filename>.desktop</filename>-faile avades. Kuigi see pärib administraatori (<systemitem class="username">root</systemitem>) parooli &GUI; dialoogis, pean ma ise seda rohkem käsurea <-> &GUI; seguks kui puhtaks &GUI; rakenduseks.</para>
<listitem><para>Määrab rakenduse käivitama administraatori õigustes. See tuleb anda ühe argumendina. Kui näiteks soovid käivitada uut failihaldurit, tuleb käsureale kirjutada <userinput><command>tdesu <option>-c <replaceable>kfm -sw</replaceable></option></command></userinput></para></listitem>
<listitem><para>Võimaldab kasutada &tdesu;'d tõhusalt <filename>.desktop</filename>-failide puhul, käskides &tdesu;'l uurida faili, mille nimi on antud parameetriga <parameter>fail</parameter>. Kui käsuandjal on sellel failil kirjutamisõigus, käivitab &tdesu; faili kasutaja õigustes. Kui aga mitte, käivitatakse käsk kasutajana <parameter>kasutaja</parameter> (vaikimisi administraator).</para>
<para>Parameetrit <parameter>fail</parameter> hinnatakse järgmiselt: kui <parameter>fail</parameter> algab märgiga <literal>/</literal>, on see absoluutne failinimi. Muul juhul peetakse seda &kde; globaalse seadistustefaili nimeks. Näiteks KDE kuvahalduri <application>tdm</application> seadistamiseks tuleb anda käsk <command>tdesu <option>-c tdmconfig -f tdmrc</option></command></para></listitem>
<para>Määrab prioriteedi. Prioriteet on suvaline arv vahemikus 0 kuni 100, kusjuures 100 tähendab kõrgeimat ja 0 madalaimat prioriteeti. Vaikeväärtus on 50.</para>
<listitem><para>Võimaldab terminaliväljundi ning tühistab parooli säilitamise võimaluse. See on peamiselt mõeldud silumiseks, kui soovid käivitada konsoolirežiimis rakendust, kasuta parem tavapärast <command>su</command> käsku.</para> </listitem>
<listitem><para>Kuigi &tdesu; kõige levinum tarvitamine on käsu käivitamine administraatori õigustes, võib määrata suvalise kasutajanime ja vastava parooli.</para>
<para>Käivitatav rakendus töötab administraatori ID-ga ning üldiselt ei ole sel ligipääsuõigust X'ile. &tdesu; saab sellest aga üle, lisades autentimisküpsise ajutisele <filename>.Xauthority</filename>-failile. Käsu lõppemisega fail kustutatakse. </para>
<para>Kui sa X'i küpsiseid ei kasuta, ei ole midagi teha. &tdesu; avastab selle ega lisa küpsist, aga siis pead ise tagama, et administraatoril oleks ligipääs X'i seansile.</para>
<para>&tdesu; kasutab privileegide hankimiseks süsteemi <command>su</command> käsku. Siin seletan lähemalt, kuidas &tdesu; seda teeb. </para>
<para>Kuna mõned <command>su</command> versioonid (&ie; seesamune &RedHat; oma) ei taha parooli lugeda <literal>stdin</literal>-ist, loob &tdesu; pty/tty paari ning käivitab <command>su</command> standardsete tty-ga seotud failikirjendajatega.</para>
<para>Kasutaja antud käsu käivitamiseks kasutab &tdesu; <command>su</command> juures võtit <option>-c</option>. Seda argumenti tunnistavad kõik shellid, mida ma vähegi tean, nii et see peaks kõikjal toimima. <command>su</command> edastab argumendi <option>-c</option> sihtshellile ning see käivitab rakenduse. Näide: <command>su <option>root -c<replaceable>rakendus</replaceable></option></command>.</para>
<para>Selle asemel, et käivitada kasutaja antud käsk vahetult <command>su</command>-ga, käivitab &tdesu; väikese tüverakenduse nimetusega <application>tdesu_stub</application>. See tüvi (töötab sihtkasutajana) nõuab &tdesu;lt mõningat infot pty/tty kanali kaudu (tüve stdin ja stdout) ning käivitab siis kasutaja rakenduse. Saadetavaks infoks on: X'i seanss, X'i autentimisküpsis (kui on olemas), muutuja <envar>PATH</envar> ja käivitatav käsk. Tüve kasutamise põhjuseks on see, et X'i küpsis kujutab endast varjatud infot, mida ei saa edastada käsureal.</para>
<para>&tdesu; kontrollib sisestatud parooli ning annab veateate, kui see pole korrektne. Kontrollimiseks käivitatakse testprogramm: <filename>/bin/true</filename>. Kui see õnnestub, peetakse parooli õigeks.</para>
<para>Puhtalt kasutaja mugavuse huvides kasutab &tdesu; võimalust <quote>parool jäetakse meelde</quote>. Kui sulle on aga oluline turvalisus, peaksid selle osa hoolikalt läbi lugema.</para>
<para>Luba &tdesu;'l parooli säilitada avab (kuigi väikese) turvaaugu sinu süsteemis. On selge, et &tdesu; lubab paroole kasutada ainult sinu kasutaja-ID-ga, kuid kui siin ettevaatlikkust ei ilmutata, võrdsustab see administraatori (<systemitem class="username">root</systemitem>) turvataseme tavakasutaja omaga. Sinu kontole sisse murdev häkker saab sel moel muidu <systemitem class="username">administraator</systemitem>ile lubatud õigused. &tdesu; püüab seda vältida. Kasutatav turvaskeem on vähemalt minu hinnangul mõistuse piires turvaline.</para>
<para>&tdesu; kasutab deemonit nimetusega <application>tdesud</application>. See deemon uurib &UNIX; soklit <filename>/tmp</filename>-s käskude saamiseks. Sokli režiim on 0600, nii et sellega saab ühendust ainult kasutaja ID-ga. Kui parooli meeldejätmine on lubatud, käivitab &tdesu; käsud deemoni kaudu. See kirjutab käsu ja <systemitem class="username">administraator</systemitem>i parooli soklile ning deemon käivitab käsu <command>su</command> abil, nagu eespool kirjeldatud. Seejärel ei kustutata kohe käsku ja parooli, vaid need hoitakse teatud aeg alles. See ongi seadistusmoodulis määratav aegumisväärtus. Kui selle jooksul saabub sama käsk uuesti, ei ole kliendil vaja parooli uuesti sisestada. Häkkerite eemalhoidmiseks, kes võivad sinu kontole sisse murda ja deemonilt paroole varastada (näiteks seda silujaga ühendades), on deemon loonud set-group-id nogroup'i. See peaks takistama kõigil tavakasutajatel (ka sinul endal) hankimast paroole <application>tdesud</application> protsessilt. Deemon määrab ka keskkonnamuutuja <envar>DISPLAY</envar> väärtuseks käivitusaegse väärtuse. Sellisel juhul on ainus asi, mida häkker saab teha, rakenduse käivitamine sinu seansis.</para>
<para>Selle skeemi nõrgaks kohaks on asjalu, et rakendused, mida sa käivitad, et ole tõenäoliselt loodud turvalisust silmas pidades (nagu setuid <systemitem class="username">root</systemitem> rakendused). See tähendab, et neil võib esineda puhvri ületäide või muid probleeme, mida häkkerid saavad ära kasutada.</para>
<para>Parooli meeldejätmise võimalus on kompromiss turvalisuse ja mugavuse vahel. Soovitan väga tungivalt sellele mõelda ja ise otsustada, kas seda kasutada või mitte.</para>
<para>&tdesu; kirjutas &Geert.Jansen;. Selle aluseks on mõneti Pietro Iglio &tdesu; versioon 0.3, Me leppisime Pietroga kokku, et edaspidi olen selle hooldaja mina.</para>
<para>Autoriga saab ühendust võtta meilitsi: &Geert.Jansen.mail;. Palun anna mulle teada kõigist leitud vigadest, et saaksin need ära parandada. Aga kirjuta ka siis, kui sul on hea mõte, kuidas midagi võiks paremaks muuta.</para>