UID 0 a bohove [was Re: Wanted: konference o bezpecnosti Linuxu]
David Rohleder
davro na ics.muni.cz
Pátek Březen 27 08:55:49 CET 1998
snajdr na pvt.net writes:
> > > Jadro je prelozene bez modulu na CD-ROM, ktera je bootovaci, zasunuta
> > > v CD-ROM mechanice se zamkem, soubory /etc/inittab, /etc/rc*.d spolu s
> > > mnozstvim souboru z etc, bin, sbin atd na CD-ROM, pridana zmena
> > > security-level na 1 (napr. v OpenBSD to je). Pak treba staticky
> > > slinkovane vsechny programy atd. (odstraneni trasovani z jadra, ale v
> > > tom uz se nevyznam).
>
> - co zavedeni modulu do jadra?
> - co /dev/kmem?
Jak zavedete do jadra modul, kdyz tam na to neni podpora?
Security level 1 by se mel vztahovat prave na veci, jako cteni z /dev/kmem.
V OpenBSD nespustite ani akcelerovany Xserver, kdyz mate security
level 1 (musi na to byt spec. ovladac).
> - ..
>
> > >
> > > Ochrana proti smazani databaze - immutable bit na adresar, ve kterem
> > > je databaze, sifrovani databaze pres nejakou crypto kartu.
> >
> > ..tak a cele to zalejt do betonu...
spise do faradayovy klece a pak teprve zalit.
>
> - co treba na urovni HW rozlisovat co je aplikace a co OS
> - HW sifrovani vseho co jde ve smeru k disku nebo obdobnym
> zalezitostem
>
> > > Myslim, ze upravami jadra je mozne dosahnout toho, aby ani root nemohl
> > > sahat na adresovy prostor ostatnich procesu ...
>
> Systemove reseni?
>
Potrebuje root sahat do adresoveho prostoru programu, ktere
nepotrebuje ladit?
> > >
> > > No, na takovy pocitac bych se ani jako odbornik od CIA nechtel vlamavat.
>
> No nevim, nevim ... ;-)
>
To je pravda, jako odbornik od CIA bych si odchytil roota a spravce
databaze a lechtal bych je tak dlouho nez mi reknou vsechna hesla.
> > > (Predpoklad - v programech nebo v jadre nejsou zadne zname chyby)
>
> To zni skoro jako predpokladejme, ze v sendmailu
> nejsou zadne diry :-). Co myslite? Ruku do ohne
> za to asi neda nikdo :))) a to je program, ktery
> bezi s root pravy :-(((
A musi? Osobne si to vubec nemyslim. Ikdyz se nemuzete bez sendmailu
obejit, tak muzete pouzit nejaky snadno zkontrolovatelny jednoduchy
front end, ktery se spousti z inetd (napr. smap & smapd). Sendmail je
pak mozne spoustet zcela oddelene od jakehokoliv provozu.
>
> S pozdravem
> Petr Snajdr
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux