UID 0 a bohove [was Re: Wanted: konference o bezpecnosti Linuxu]

David Rohleder davro na ics.muni.cz
Pátek Březen 27 15:16:44 CET 1998 

snajdr na pvt.net writes:

> > > > > v CD-ROM mechanice se zamkem, soubory /etc/inittab, /etc/rc*.d spolu s
> > > > > mnozstvim souboru z etc, bin, sbin atd na CD-ROM, pridana zmena
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> 	Tohle se da obejit s pravy roota bez problemu

Jak? Kdyz budu mit alespon jeden proces spusteny z adresare na
primontovanem disku (treba init), takze ho nebudu moc odpojit?

Moznost obejiti vidim treba v moznosti nahradit bezici programy jinymi.

Muzeme to zneprijemnit napr. spoustenim inetd z inittabu jako
respawn, takze bude dost obtizne zabitelny, vsechny demony pak
spoustet z inetd nebo z inittabu jako respawn.

V podstate jsme chteli asi dosahnout nasledujiciho: aby root nebyl
schopen nejak narusit praci jineho uzivatele (treba databaze). To snad
ani neni mozne (su databaze a je to).

Ovsem pak se musime zamyslet nad tim co je jednodussi: koupit VMS nebo
hackovat jadro temer do nekonecna (popr. vyrobit si svuj vlastni VMS,
ktery se tvari jako unix).

> 
> > > > > security-level na 1 (napr. v OpenBSD to je). Pak treba staticky
> > > > > slinkovane vsechny programy atd. (odstraneni trasovani z jadra, ale v
> > > > > tom uz se nevyznam).
> > > 
> > > - co zavedeni modulu do jadra?
> > > - co /dev/kmem?
> > 
> > Jak zavedete do jadra modul, kdyz tam na to neni podpora?
> 
> <JOKE>Pres /proc/kmem :)</JOKE>
> Cetl jsem moc rychle, omlouvam se, moje chyba ( byl to jeden z 1500 dopisu :)))
> Nicmene /proc/kmem zustava nebo ne?
> 

No to jo, ale vzdyt je to obycejny filesystem. Myslim, ze nic nebrani
tomu, aby soubory z nej mohl cist pouze vlastnik (a ne root) a zakazat
zapis. Vznikly by asi problemy, ale nelze tvrdit, ze je to
neresitelne. Navic /proc vubec nemusite v jadre povolit. Akorat by
mohly potencialne vzniknout problemy.


> > 
> > Security level 1 by se mel vztahovat prave na veci, jako cteni z /dev/kmem.
> > 
> > V OpenBSD nespustite ani akcelerovany Xserver, kdyz mate security
> > level 1 (musi na to byt spec. ovladac).
> 
> Neznam OpenBSD. Ma neco takoveho Linux a udelano takto?
> 

Myslim, ze jo, ale nefunguje to nebo to alespon nefungovalo.

> > > > > Myslim, ze upravami jadra je mozne dosahnout toho, aby ani root nemohl
> > > > > sahat na adresovy prostor ostatnich procesu ...
> > > 
> > > Systemove reseni?
> > > 
> > 
> > Potrebuje root sahat do adresoveho prostoru programu, ktere
> > nepotrebuje ladit?
> 
> Tedy reseni je jake?

Napsat Linusovi? :-)

> 
> S pozdravem
>    Petr Snajdr


-------------------------------------------------------------------------
David Rohleder						davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------

Další informace o konferenci Linux