OT : Omezeni prihlasovani uzivatelu

Petr Novotny Petr.Novotny na antek.cz
Středa Říjen 11 16:32:03 CEST 2000


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 11 Oct 2000, at 16:24, Pavel Kankovsky wrote:

> On Wed, 11 Oct 2000, Petr Novotny wrote:
> 
> Kdyz to bude delat OS spatne, tak je to v haji v kazdem pripade.
> Tzn. bud vyzaduji, aby to bylo dobre na dvou mistech, nebo jen na
> jednom miste. Budu-li predpokladat, ze pravdepodobnost vzniku chyby na
> jednom miste je P (a audit tu pravdepodobnost pouze snizuje),

Tohle neni pravda. Chybu lze opravdu vyloucit, at si programatorsky 
folklor rika cokoliv - tedy chybu jinou nez chybu v navrhu.

> P << 1,
> pak mam bud ve vysledku pravdepodobnost chyby P nebo cca 2P. Vyberte
> si, co je lepsi (pochopitelne v tom pak hraji roli i jine faktory).

Treba ten faktor, ze zalozenim uzivatele muzu zpusobit, ze se ten 
prihlasi jinak nez pres pop3. Srovnavate hrusky s jablky, obavam 
se.

Ja to vidim takhle:
Bud mam system, kde user space program si vede sva vlastni uid 
a ma opravneni ke vsem schrankam. Je-li tento program bezpecny 
(a vzhledem k jeho principialni jednoduchosti jde bezpecne udelat - 
proste se po autentifuckaci uzivatele chrootne do jeho maildiru a 
dal uz ma tak malo privilegii, ze neni co exploitovat), mam problem 
vyresen,
Anebo mam system, kde se mi o uzivatele stara kernel a ja se 
naopak staram, aby se uzivatele nemohli prihlasit jinak nez k 
mailboxu.

Obavam se, ze podle me interpretace :-) standardnich 
bezpecnostnich pravidel je prvni pripad lepsi: Bezpecnostne-citlive 
veci jsou soustredene na jednom miste a ne rozesete do milionu 
interagujicich komponent. Audit lze provest mnohem snadneji.

> > Remote exploit v pop3 nebo imap serveru stejne vetsinou znamena root
> > kompromis (ty demony, alespon na pocatku, bezi jako root, aby mohly
> > uzivatele autentifuckovat [jak se vam libi tahle varianta? <g>]) a
> > do postovni schranky nekoho dalsiho se dostanu stejne...
> 
> Kdyz by se to implementovalo "idealne", tak by demon na zacatku nemohl
> nic, akorat by mohl komunikovat s klientem a autentizacnim subsystemem
> (ktery by stejne byl soucasti TCB, a tudiz by musel byt dobre) a
> opravneni sahat na jakakoli data by ziskal az od toho aut. subsystemu.

Kdyz by se to implementovalo "idealne", tak tam zadny exploit ani 
neni a tim padem neni treba resit, ze by to melo roota zahazovat. :-)

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.2 -- QDPGP 2.61a
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOeRr1FMwP8g7qbw/EQKNmQCgna5h/IezP54HkHHjcGfBog9PkL0AoJHj
eTqq5MxgrZNblBxgIgXmZqab
=KN24
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]


Další informace o konferenci Linux