Zapeklity problem

[Frantisek Krupka]

Jakub Jelinek wrote:
> 
> > Pokud budu znat uvedeny mechanismus a na system se nabouram jako root,
> > neni problem kernel upravit. Bezpecnost by nemela byt zalozena na
> > neznalosti mechanismu :-(
> Ne, system security levelu a immutable filu, pokud je dotazeny dokonce (coz
> v Linuxu absolutne neni) takovemu upravovani ucini pritrz. root je pro
> takovy system bezbranny, kdyz nema pristup ke konzoli a dulezite programy
> jsou immutable, pristup na raw devicy je dobre vyresen etc. Neni to nijak
> jednoduche, ale kdyz neco takoveho chodi, tak je to pak docela dost
> bezpecne. V podstate pak jsou dva rootove - ten, ktery ma fyzicky pristup, a
> ten, ktery ho nema. Ten druhy muze jen cast toho, co ten prvni. Napr. menit,
> mazat etc. immutable soubory muze pouze root v single user rezimu (tedy musi
> mit pristup ke konzoli). Pokud se vyresi pristup na disky, ze si nekdo
> nemuze prepsat bootblock, dale pak ze nemuze zmenit ni byte v kernelu, ktery
> je boot loaderem natazen a pokud nemuze menit ani zadny z dulezitych
> programu pro bezpecnost systemu, tak nema narok.
> 

Popsane mechanismy jaksi nejsou standardni soucasti OS UNIX. Pokud by
byly v Linuxu dotazene, lze o nich v danem pripade uvazovat. Drive
nikoliv. Predpokladam, ze narocnost implementace nebude mala a nejake ty
diry se najdou (coz neznamena, ze chci vyse popsany mechanismus
zatracovat :-)



                                              Krupka F.