[d-kernel] Усиление безопасности unix клонов

[Anton D. Kachalov]

On Fri, Mar 25, 2005 at 11:59:38PM +0300, Sun Inventor wrote:
> Рядовой пользователь в большинстве своем фаервол то ленится настроить:)
Вот-вот...и кому это надо?

> Примерно так я себе это и представляю. Смысл в том, что sun ничего
сделать не может пока не поправит конфиг. А для этого надо сделать su
sun_god и сказать пас. Два паса сложнее похитеть чем один.
Зависит от способов хищения. Не стоит на это делать упор. Пасатижи ещё
никто не отменял :)

> А чего мешает руту сделать rm -rf / ?(и похоронить офицера безопасности
вместе со всей системой)
Последний раз я щупал RSBAC года три назад и у меня остались воспоминания,
что похоронить офицера рутом не выйдет...как и многое другое. Зависит от
настроек, проделанных secoff'ом.

> Дело не в знание паса. Можно сделать пас и в 20 рандомных симвлол. А в
том что если хакер получит шел юзера\рута(например через сплоит) то ничего
со своим богатством сделать не сможет. А 
В граммотно настроенной системе ничего и не сделает. Ему просто ничего и
не дадут. И вообще, шелл юзерам давать не стоит, разве что /bin/false :)

> второй акаунт sun_god сплоитом не поиметь пассворд крякером не
разгадать:)
Есть такая замечательная книжка - "Прикладная криптография"
небезизвестного Б. Шнайера. И где-то в самом начале есть примерно
следующее:
"И не забывайте о предположении Керкхофса: если мощь вашей новой
криптосистемы опирается на то, что взломщик не знает, как работает
алгоритм, вы пропали. Если вы считаете, что хранение принципа работы
алгоритма в секрете лучше защитит вашу криптосистему...вы ошибаетесь."

Rgds,
Anton