[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[b-free: 1739] Re: B-FreeOS セキュリティ関連



From: Hideaki Suzuki <h1suzuki@bridgew.edu>
Subject: [b-free: 1737] Re: B-FreeOS         セキュリティ関連
Date: Thu, 09 Jul 1998 22:46:02 -0400


> > モード移行の方法ですが、パスワードによる他にFDなんかに権限情報
> > を書き込んでおいて、それを挿入することで管理モードに移行できる
> > ようになるようにするとか。FDは物であるだけにパスワードより管理
> > が楽だし、管理モードに移行できるユーザを制限しておけば悪用する
> > のも難しくできて便利だと思いますが。
> 
> FD は、今一つではないでしょうか?
> なにしろ、簡単に複製できてしまうし、うーん。smartcard が良いという話もありますが、最
> 近 security hall があったとか、既存の system への取り付けが面倒とか、いろいろあります
> ね。

そうでしょうか?たとえ合鍵を持っていたとしても、biosでfloppyからのbootが
不可能になっている場合、その合鍵はまるで意味のないものになりますよね?

> まあ、大学の端末によっても、心臓部につながっていないようなものなら、大した security
> はいらない気もしますし、、、。

う〜ん、要らないような、いるような‥。
もちろん大した情報は入っていないので、crackされても何かを盗まれると言うことは
ないと思いますが、管理してる方としては壁紙に卑猥な写真が堂々と張られていると
ちょっとまずいので(^^;;
#IE入れたら、止める方法はないような‥‥。

securityと言っても、
1、何かの情報を盗まれては困る場合と、
2、他の人のために設定を変えられると困る場合
があると思います。

1の方が、厳しいsecurity checkが必要ですね。

> 僕の周りの 95 の端末上でよく見られる手段としては、
> 
>  ・ server は完全に client から改変不能にし、client が立ち上がる
>    度に、client のなかの重要な file を server から download して
>    くる。たとえ、client に変更がなされていたとしても、次の起動で
>    その変更は、元に戻される。
>    ただし、login(download) を処理する部分は、別に protect する。
>
>  ・ 利用者は、特定の directory しか書き込めないものとする。
>    (しかし、app の起動によって、その範囲が広がる。)
>    よって、勝手な software の install なども、すべて、禁止される。
> 
>  ・ logout ができないようにする。再起動した場合、passward などが
>    必要。
> 
>  ・ 特定の program の使用を禁止する。たとえば、regedit とか。
> 
> などでしょうかねぇ。
> 結構お手軽で、しかし、素人にはなかなか crack できないと思います。

上に書かれている方法は、securityがしっかりしていないためのとりあえずの
回避方法、または、復旧方法ですよね。
もし、しっかりと管理できているなら、変更されたくないところはできなくなっていて、
使える物だけuserに使わせることができなければならないと思います。
もちろん管理者の能力もありますが、OSがその方法を提供できていなければどうにもならない‥。

#余談
#うちの学校のmajor用のlabのサーバーがNetwareからNTになりました。
#userのhome dir(唯一fileをsaveできる(と言う事になっていた)場所)は、
#server上にあるのですが、NTがserverだと、quotaが効かないらしい‥‥‥‥。
#どうするんだろ‥‥‥‥‥‥。
--
Yasushi Shoji               | my pgp public key is
yashi@yashi.com             | http://yashi.com/public_key.txt
yashi@kafka.salem.mass.edu  | powered by linux and open source software