ACL a bezp. patche [WAS: novy uzivatel]

Jan Houstek houstek na karlin.mff.cuni.cz
Čtvrtek Březen 13 01:27:18 CET 2003 

> > http://acl.bestbits.at
> >
> > Pokud si prohlednete posledni clanek o FS na abclinuxu.cz, tak tam
> > najdete odkazy.
> >
> > ACL je to, co muzete delat ve Windows NT/2000/XP pri pridelovani prav na
> > konkretni adresare a soubory (pro jednotlive uzivatele nebo skupiny).
> >
> > Podpora pro ACL na ext[23] je v posledni bete RH Linuxu. Pro starsi si
> > musite prelozit jadro sam (nebo pouzit to z bety). K tomu samozrejme
> > budete potrebovat i prislusne nastroje (viz ten odkaz nahore).
> >
> > U jinych FS nebo distribuci to muze byt jinak (ACL pro ext FS nebyly do
> > RH 8.0 zarazeny kvuli problemum se stabilitou).

Podle toho, co je mi znamo, funguje ACL uspokojive pouze pro ext3 a xfs a
navic neni dobry napad oba dva fs michat dohromady. Ja pouzivam moznost 2
a zatim jsem nenarazil na problem.

> Pripadne pro presne tyto potreby existuji bezpecnostni patche do jadra.
> Projekty:
>
> LIDS - www.lids.org
> Medusa - medusa.fornax.sk
> RSBAC - www.rsbac.org
> apod.
>
> Krome ACL umi i mnoho dalsich bezpecnostnich funkci.

Uff, tohle je trochu zavadejici. ACL na urovni fs je pouze vylepseny DAC,
ktery bezne v linuxu je (prava owner-group-world). ACL k tomu pridava
moznost dalsim uzivatelum a groupam pridelovat dalsi prava, coz se hodi
zejmena u dat, ke kterym ma pristupovat vice uzivatelu (s kasickym
unixovym pristupem je tohle docela problematicke).

Bezp. patche do jadra se deli v zasade na tri skupiny:

1) ruzna vylepseni kernelu, napr. non-exec stack apod. V tomto smeru me
velmi zaujal projekt PaX.

2) omezeni capabilities, coz castecne omezuje roota, napr. lids nebo
grsecurity

3) ACL na soubory, nezavisla na uzivatelich ci filesystemu, typickym
prikladem je nastaveni /usr jako ro (i pro roota), nebo trusted path
execution (spoustet binarky lze jen z vyjmenovanych adresaru, vetsinou
navic nastavnych jako ro)

Je ale zrejme, ze ACL v bezpecnostnich patchich jsou neco uplne jineho,
nez ACL na filesystemu. Navic zakladni filosofii bezp. patchu je to, ze za
bezneho provozu jsou neaktivni (tj. vse se vyresi na urovni standardniho
DAC), pouze v okamziku, kdy nekdo projde prvni barierou, ho ta druha
zastavi. Spolehat se ale na sluzby techto vylepseni je dost kratrozrake.

Krom toho exituje par projektu, ktere se snazi implementovat MAC, o tom
toho ale moc nevim.

-- Honza Houstek

Další informace o konferenci Linux