Zniceni Boha :-) [was Re: Utajena modifikace souboru]
Martin Kavalec
xkavm04 na vse.cz
Čtvrtek Leden 6 19:50:04 CET 2000
5 Jan 2000 11:31:44 GMT Leos Bitto <bitto na atrey.karlin.mff.cuni.cz> napsal:
> Pavel Machek (pavel na suse.cz) wrote:
> : To samy muzes udelat na unixu:
> :
> : Az pozabijis vsechny rootovy procesy nezbude zadny Buh :-). Init by
> : mohl zmenit uid na 43, na filesystemu nesmi byt nic suid 0, vsechny
> : procesy musi bud zmenit uid nebo spachat sebevrazdu, a je po Bohovi.
>
> Bohuzel je take po pouzitelnem unixu. :( Je treba aby v systemu byla
> cesta jak delat urcitou administraci. V unixu se to resi pres uid==0,
> coz je onen vsemohouci Buh. Jinde se tato moc distribuuje mezi vice
> castecnych Bohu. Neni ovsem mozne nemit vubec zadne Bohy, coz nabizis
> ty, Pavle.
Možná by se dalo udělat několik polobohů, dejme tomu useradmin,
appadmin, auditor (správa logů). (to střílím od pasu, asi by bylo
nutné mít nějaké další, když by se to promyslelo.) Práva k vybraným
souborům na disku vhodně přidělit těmto uživatelům, suid z roota
přeházet na tyto uživatele, ... uvést to do stavu, aby to
fungovalo a bylo možné vykonávat běžné administrativní úkony.
Takovýto stroj zabezpečit proti fyzickému přístupu. když bude
potřeba provést neběžný úkon, rebootovat to na "normální UNIX"
s rootem, udělat co je potřeba a pak přepnout zase do paranoidního
runlevelu, připojit k síti, zamknout a klidně spát :)
Upřesnění pojmu "běžné administrativní úkony" mění hranici, mezi tím,
jak moc by se to muselo promyslet, a tím, jak často by se muselo
rebootovat.
Myslíte, že je to realizovatelné?
Zdraví
martin
Další informace o konferenci Linux