UID 0 a bohove [was Re: Wanted: konference o bezpecnosti Linuxu]
David Rohleder
davro na ics.muni.cz
Pátek Březen 27 15:16:44 CET 1998
snajdr na pvt.net writes:
> > > > > v CD-ROM mechanice se zamkem, soubory /etc/inittab, /etc/rc*.d spolu s
> > > > > mnozstvim souboru z etc, bin, sbin atd na CD-ROM, pridana zmena
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> Tohle se da obejit s pravy roota bez problemu
Jak? Kdyz budu mit alespon jeden proces spusteny z adresare na
primontovanem disku (treba init), takze ho nebudu moc odpojit?
Moznost obejiti vidim treba v moznosti nahradit bezici programy jinymi.
Muzeme to zneprijemnit napr. spoustenim inetd z inittabu jako
respawn, takze bude dost obtizne zabitelny, vsechny demony pak
spoustet z inetd nebo z inittabu jako respawn.
V podstate jsme chteli asi dosahnout nasledujiciho: aby root nebyl
schopen nejak narusit praci jineho uzivatele (treba databaze). To snad
ani neni mozne (su databaze a je to).
Ovsem pak se musime zamyslet nad tim co je jednodussi: koupit VMS nebo
hackovat jadro temer do nekonecna (popr. vyrobit si svuj vlastni VMS,
ktery se tvari jako unix).
>
> > > > > security-level na 1 (napr. v OpenBSD to je). Pak treba staticky
> > > > > slinkovane vsechny programy atd. (odstraneni trasovani z jadra, ale v
> > > > > tom uz se nevyznam).
> > >
> > > - co zavedeni modulu do jadra?
> > > - co /dev/kmem?
> >
> > Jak zavedete do jadra modul, kdyz tam na to neni podpora?
>
> <JOKE>Pres /proc/kmem :)</JOKE>
> Cetl jsem moc rychle, omlouvam se, moje chyba ( byl to jeden z 1500 dopisu :)))
> Nicmene /proc/kmem zustava nebo ne?
>
No to jo, ale vzdyt je to obycejny filesystem. Myslim, ze nic nebrani
tomu, aby soubory z nej mohl cist pouze vlastnik (a ne root) a zakazat
zapis. Vznikly by asi problemy, ale nelze tvrdit, ze je to
neresitelne. Navic /proc vubec nemusite v jadre povolit. Akorat by
mohly potencialne vzniknout problemy.
> >
> > Security level 1 by se mel vztahovat prave na veci, jako cteni z /dev/kmem.
> >
> > V OpenBSD nespustite ani akcelerovany Xserver, kdyz mate security
> > level 1 (musi na to byt spec. ovladac).
>
> Neznam OpenBSD. Ma neco takoveho Linux a udelano takto?
>
Myslim, ze jo, ale nefunguje to nebo to alespon nefungovalo.
> > > > > Myslim, ze upravami jadra je mozne dosahnout toho, aby ani root nemohl
> > > > > sahat na adresovy prostor ostatnich procesu ...
> > >
> > > Systemove reseni?
> > >
> >
> > Potrebuje root sahat do adresoveho prostoru programu, ktere
> > nepotrebuje ladit?
>
> Tedy reseni je jake?
Napsat Linusovi? :-)
>
> S pozdravem
> Petr Snajdr
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux