Zapeklity problem

Frantisek Krupka krupka na pha.pvt.cz
Pátek Listopad 29 15:40:50 CET 1996


Pavel Korensky wrote:
> 
> 
> No, problem je v tom, ze za stavajiciho stavu muze root skutecne vsechno. To
> neni vzdy sikovne, zvlast pokud se jedna o zamestnance nejake firmy. Nastvany
> root muze napachat mnoho skody. To je duvod proc nektere OS (Novell) maji krome
> roota i auditora.
> Ve vyse popsanem pripade se resi jina vec. Jedna se o to, aby ucite veci byl
> root schopen delat pouze pri fyzicke pritomnosti u host pocitace. Do znacne miry
> by to vyresilo problemy s hacknutim root prav na masine v Internetu.
> Ja bych dokonce uvital jeste navic takove moznosti operacniho systemu, ktere by
> umoznily provest zmeny ktere jiz nemuze nikdo zrusit, ani root sam. Uvedu
> priklad:

Na to, aby jste mohl provadet vybrane operace pouze z konzole by procesy
museli provadet kontrolu, z ktereho tty (console) jsou spousteny
(ttyname(3))


> 
> chci mit na serveru nejaka data, ktera jsou za urcitych okolnosti pristupna
> urcitemu procesu. Data jsou na disku zasifrovana, klic je ulozeny v souboru ke
> kteremu by mel pristup jen ten proces, a to jednou provzdy a nezrusitelne. Tak
> by bylo mozne zajistit, ze spravce systemu nemuze data rozkodovat. Pokud je
> nemuze rozkodovat, nemuze k tomu byt ani donucen napriklad gumovou hadici nebo
> soudnim prikazem. Pokud root nemuze zjistit obsah zakodovanych souboru, nemuze
> za ne byt ani zodpovedny. Idealni reseni pro anonymni remailer, warezovy server
> a dalsi veci.
> 

Musel by jste 'vylespit' rizeni pristupu zalozene na na euid, ruid
(vyuziva se pro vybrane prikazy) a egid jeste o PID :-) a ani to by
nestacilo.



                                     Krupka F.


Další informace o konferenci Linux