UID 0 a bohove [was Re: Wanted: konference o bezpecnosti Linuxu]

[Alexandr Malusek]

pdm na informatics.muni.cz (Milan Zamazal) writes:

> b. Jak zabranit existenci vsemocneho roota, ktery muze dle libosti
>    prekrocovat sve kompetence typu cmuchani v databazi.
> 
> Ad b. Uplne hloupa otazka neznaleho: Neni mi jasne, jak lze tomuto vubec
> nejak rozumne zabranit.  Napada me pouze zavrit pocitac do trezoru,
> sitova spojeni zabetonovat do zdi a znemoznit odposlouchavani, klientske
> pocitace radeji vubec nepouzivat a klice od vseho osobne uschova majitel
> firmy a zaveti je nekomu odkaze.  Nebo existuji jednodussi reseni?

Vim jen o slozitejsich resenich. B2 systemy implementuji koncepci
"least privilege", tedy ze uzivatele i programy by meli mit jen ta
opravneni, ktera nezbytne potrebuji pro provedeni ukolu a navic jen po
nezbytne nutnou dobu. V techto systemech se vsemocny root vyskytovat
nemuze, protoze jeho existence odporuje vyse uvedene koncepci.

B3 systemy dale zavadi tzv. "trusted recovery" - k poruseni
bezpecnosti nedojde ani v pripade havarie systemu. Mimoto vyzaduji i
existenci samostatneho security administratora.

Technicky popis OS splnujicich B2, B3, nebo A1 jsem ale na Internetu
nenasel.

--
A. Malusek  (malusek na ujf.cas.cz)
UJF AV CR