OT : Omezeni prihlasovani uzivatelu

[Pavel Kankovsky]

On Mon, 16 Oct 2000, Petr Novotny wrote:

Varovani ministra zdravotnictvi: cetbou tohoto dlouheho blabolu si muzete
zpusobit vaznou ujmu na dusevnim zdravi. :)

> Lidsky faktor nehraje roli. Nebo budete argumentovat, ze dukaz 
> (treba) zakladni vety algebry je mozna spatne kvuli lidskemu 
> faktoru?

Sebelepsi argumentace, ze je treba zmineny dukaz dobre (nebo spatne), se
opira o predpoklad, ze zucastneni jedinci jsou schopni uvazovat logicky a
oba dva si pod logickym uvazovanim predstavuji to same. (Ostatne
uvazime-li, kolik se behem poslednich 100 let objevilo alternativnich
logickych systemu (za vsechny jmenujme treba linearni logiku), pak bych
vubec nebyl prekvapen, kdyby v nejakem z tech systemu dukaz zminene vety,
resp. aspon jeden z mnoha jejich dukazu, neplatil).

Jina namitka je, ze mohu mit uplne perfektni system s bezchybnym formalnim
dukazem, ze implementace vyhovuje specifikaci, ale kdyz je to spatna
specifikace, tak ten system muze delat uplne blbosti. Jak se dokaze, ze je
specifikace spravna, aniz by se do toho michal lidsky faktor?

> > (2) princip neurcitosti.
> Dtto. Pocitac pracuje nad konecnym poctem stavu, ne nad 
> kontinuem.

Primo princip neurcitosti nebyl asi uplne nejlepsi priklad (ne, ze by ho
nebylo mozno aplikovat i na pocitace, protoze jeho stavy jsou jen
interpretace toho, jak je zrovna v obvodech rozmisten elektricky naboj).
Mel jsem proste na mysli, ze se hmota klade odpor, chceme-li po ni, aby se
chovala deterministicky.

> Dobre. Takze vy berete jako "realnou" (tj. ovazovani-hodnou) 
> alternativu, ze sitovka se blbe koukne na kabel (z duvodu principu 
> neurcitosti) a programu preda spravne rootovske username a heslo, 
> ac se klient prihlasoval jako "pepa".

K prusvihu naprosto staci, aby procesor z "vhodneho" bitu precetl opacnou
hodnotu, nez tam pred casem zapsal. V nekterych aplikacich (napada mne
treba elektronika na druzicich, ktera je vystavena kosmickemu zareni) je
to naprosto realne riziko. (Mimochodem, u RSA pocitaneho pres cinskou vetu
o zbytcich muze takova chyba snadno vest k vyzrazeni soukromeho klice. Bez
c. v. o z. take, ale vyzaduje to vetsi pocet chybnych vypoctu nad
specifickymi vstupy.)

> Znovu rikam: Utokum lze auditem "zabranit"

Posledne tam nebyly uvozovky. :)

> (alespon se stejnou pravdepodobnosti...

Jinak receno, riziko je redukovano na nenulovou, ale akceptovatelnou (opet
ten lidsky faktor: jak se zjisti, ze je riziko akceptovatelne?) uroven.

> A kdyby byly vsechny systemy MS-Windows, nemusel byste se
> bezpecnostni strankou vubec zaobirat.

Jiste, protoze by vsechno fungovalo dokonale. A z obrazu na stenach by se
na nas usmival strycek Bill. A plan bychom plnili na 130 procent. ;)

> "What's your point?"

Ze navrh rozdelovat umele uzivatele na ruzne hromadky, aby se nahodou
nemohli prihlasit jinym zpusobem, nez chceme, je spis z nouze ctnost, nez
koncepcni reseni.

> Mam jen omezene prostredky, abych provedl audit. Muzu 
> prohlednout nektere programy, ale ne vsechny.

To zalezi na tom, kolik toho je a jake mam kapacity, ne? :)

> Schvalne, kdo z vas prohlizel (treba) drivery sitovky, zda tam nejsou
> nejake problemy?

Ja jsem nekolik driveru zkoumal, i kdyz ne dukladne. A po pravde receno by
to asi potrebovaly. A vzhledem k tomu, ze jsou soucasti kodu, pri jehoz
naruseni se veskere zabezpeceni systemu zborti jako domek z karet, tak by
to nejspis melo byt aspon tak nalehave, jako kontrola jakehokoli kodu
v userlandu.

> > A v kazdem jsou implementovany
> > uplne jinak, coz znamena, ze kdyz budu treba chtit auditovat, co se v
> > systemu deje, tak to nejspis budu muset delat dvema ci vice ruznymi
> > zpusoby.
> 
> No a?

Nektere lidi obcas zajimaji odpovedi na otazky typu: Kdo mel za poslednich
14 dni aspon 5 neuspesnych pokusu o prihlaseni? Ze kterych IP adres se
uzivatel X.Y. prihlasoval behem posledniho roku? Kdo se pokousel
libovolnym zpusobem pristupovat k souborum, ke kterym nema pristup
(u POP3 to moc zajimave neni, ale u IMAPu uz ano)? Apod.

> Pokud zavedete uzivatele do systemu, komponent, na nez musite 
> davat pozor, pribyva: ftp, ssh, login, telnet, pripadne kombinace 
> techto programu a upload/tvoreni souboru jako ~/.ssh/rc... Takze 
> vase poznamka je sice spravna, ale v nami resenem pripade je 
> irrelevantni. :-)

To neni mnozstvim komponent, ale jejich spatnou strukturou...funkce, nad
niz je pozadovana kontrola je v obsazena kazde z tech komponent
individualne (a v kazde trochu jinak).

> Mate nejaky dobre definovany (a overeny, kdyz uz rovnou ne 
> auditovany) mechanismus, jak rict, ze "uzivatel pepa smi pop3, 

Co je overeny?

> nesmi imap, pres ftp smi uploadovat jen do podadresare 
> public_html, pres ssh se smi prihlasit ale nesmi editovat .procmail? 

Co treba lehce kreativni vyuziti mechanismu povinneho rizeni pristupu:
kazda sluzba pozaduje pro svou cinnost na datech nejake lejbliky a
uzivatel ma nastaveno, jake lejbliky jsou pro nej povoleny. (Tohle
elegantne resi problem, jak zabranit uzivateli, aby pres FTP nebo neco
podobneho, nepodstrcil nejaky nezadouci konfigurak: soubor, ktery tak
vznikne, nebude spravne "ocejchovan", a tudiz ho prislusna sluzba bude
srdecne ignorovat. Pochopitelne je treba doresit nejake s mazanim a
prejmenovavanim takovych souboru resp. adresaru, ve kterych se nalezaji.)

> Myslim tim jiny, nez nezapomenout editovat tisic konfiguraku? :-) 
> Jinak receno, nakolik je tohle reseni zavisle na "lidskem faktoru"?

Stacilo by jednou nastavit pravidla pro sluzby a pak jen uzivatelum
nastavovat seznam toho, co je jim povoleno. Chyba se v tom pochopitelne da
udelat taky, ale treba se da vyzadovat, aby prideleni neobvykle velke
mnoziny opravneni vyzadovalo nezavisle schvaleni.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."