Konzistentnost serveru - jak zabezpecit?

[Jaroslav Klaus]

On Tue, Nov 23, 1999 at 02:34:46PM +0100, Pavel Kankovsky wrote:
> 
> Kolega Rohleder uz to svym zpusobem rekl, ale ja to trochu rozvedu do
> detailu. Vyvoj totiz postupoval takto nejak: mame roota, ten muze
> vsechno. Kazdy druhu program bezi pod rootem. Tedy muze vsechno. To je
> problem. Specialne muze zapisovat, kam chce. Tak udelame immutable
> flag. No jo, jenze by si stejne muze odnastavit. Tak udelame, ze kdyz se
> nastavi vyssi securelevel, tak to nepujde. Jenze porad muze root zapisovat
> do /dev/kmem. Tak to na vyssim securelevelu zakazeme. 

Ja bych to v tomto bode odtrhl. Nyni mam system ve stavu, kdy v nizsim
securelevelu muze root zapisovat kam chce, a ve vyssim levelu uz
nemuze (ani do kmem ani do mem).  Z hlediska operacniho systemu unix
mi to neprijde nijak zmatene.

> Ale jeste muze
> udelat shutdown. Tak to zakazeme. Ale pozor, ted to zas nejde shutdownovat
> vubec. Tak bude mit init vyjimku. Ted se zase ale muze kdekdo na init
> napichnout pomoci ptrace(). Tak to zakazeme. A tak dale ad nauseam.

Tak tohle urcite zmatene je a docela by mne zajimalo, ve kterem
systemu to kdo takto resil.

> Ta zmatenost spociva v tom, ze se zakladni problem, tj. ze spousta
> programu disponuje pravy, ktera ve skutecnosti vubec nepotrebuje, obchazi,
> misto aby se resil.

Ale myslenka securelevelu je preci daleko obecnejsi. Dokonce bych
rekl, ze podobna moznost jednosmerneho omezovani ovlivneni systemu by
mela byt v kazdem bezpecnostnim modelu, nezavisle na jeji konkretni
implementaci.

Nicmene se obavam, ze pokud chcete zustat urcitym zpusobem
kompatibilni, tak se "zmatenostem" nevyhnete. Nebo obracene. Pokud
budete navrhovat bezpenostni model poradne (tedy tak, aby v nem nebyly
"zmatenosti"), tak tezko docilite kompatibilitu z operanim systemem
unix. A pokud nejde o kompatibilitu, tak proc pouzivat unix? Zivot je
kompromis.

Jarda Klaus