UID 0 a bohove [was Re: Wanted: konference o bezpecnosti Linuxu]

Alexandr Malusek malusek na hroch.ujf.cas.cz
Čtvrtek Březen 26 15:30:55 CET 1998 

snajdr na pvt.net writes:

> > Pokud je mozno vytvorit a nainstalovat jadro, ve kterem byly provedeny
> > libovolne zmeny (od toho mame zdrojaky jadra, aby to mozne bylo, ze?), pak
> > osoba schopna provest tuto instalaci ma efektivne neomezena prava. QED
> 
> Ano, ale jak meximalne omezit nezbytny pocet veci, ktera tato osoba
> s pravy "boha" delat musi.

Domnivam se, ze je mozna nasledujici koncepce, ktera osobu s
neomezenymi pravy nepouziva:

Pridavani systemovych komponent, pripadne celeho jadra, dela uzivatel
s kontem rekneme operator-instalater. System ale pouze nove
komponenty, pripadne svou novou kopii, kamsi archivuje, ale nijak ji
nepouziva.  Tento uzivatel nema moznost prinutit system, aby tyto
komponenty pouzival.

System zacne komponenty pouzivat az pote, co jejich "neporusenost"
schvali uzivatel s kontem operator-kolaudator, (honosnejsi je security
officer).  Ten ale nema moznost tyto komponenty ani menit, ani
pridavat.

Tim se pravomoc roota rozdeli mezi 2 osoby, zadna z nich nemuze OS
zmenit bez prispeni te druhe.

Otazkou je, jak operator-kolaudator overi "neporusenost" SW vybaveni.
Na to potrebuje klic, ktery mu poskytne "treti strana" - firma
provadejici certifikaci OS. Tim se minimalizuje moznost, ze
programatori, kteri komponenty programovali, do nich zanesli trojske
kone. Je v tom sice lidsky faktor, ale napr. u A1 systemu se pozaduji
formalni dukazy spravnosti bezpecnostni koncepce ..., takze na celkem
solidni urovni toto overeni lze udelat.

Vyse popsane schema ale nelze zavest u Unixovych operacnich systemu,
kde se muze root zalogovat.  Mimochodem, bezne se uvadi, ze B2 systemy
je potreba navrhnout s "B2 security in mind" - ze obvykle nejde
postupnym zavadenim bezpecnostnich prvku do C2 systemu dosahnout
urovne B2.

Domnivam se, ze pro vetsinu ctenaru teto konference je jiz zrejme, ze
Unixove OS maji jisty strop co se urovne bezpecnosti tyce. Tim
samozrejme nechci rict, ze jsou spatne, ...

--
A. Malusek  (malusek na ujf.cas.cz)
UJF AV CR

Další informace o konferenci Linux