[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[b-free: 1702] Re: B-FreeOSセキュリティ関連
やすし%BTron初心者以下な、Linux user@MAです。
なんかOSという言葉の定義がしっかりしてないようなのですが‥。
daemon系のプロセス達は、OSに含まれて話されているのでしょうか?
それとも、種類によってはOSのうち?
あと、securityについては
telnetなどのように認証systemを用いてある一定のユーザーに特定のresourceを与える場合と、
sendmailなどのdaemon processなど、一般user以上の「力」を持っている物のbugによるもの
の、2つがごちゃごちゃになっているのでは?
From: Hideaki Suzuki <h1suzuki@bridgew.edu>
Subject: [b-free: 1700] Re: B-FreeOSセキュリティ関連
Date: Sat, 04 Jul 1998 08:08:54 -0400
> > :でも、どちらにしてもアプリケーションレベルのセキュリティホールを OS で
> > :防ぐというのは難しそうです。
> >
> > 個人的な感想からは、多分無理と思っています。
> > 何処に何処までの機能を持たせて、って部分があると良いのではないでしょうか?
>
> この辺はよく理解できないなぁ。
>
> App Level の Security Hole って、OS が Security をちゃんとやってないからできるん
> でしょ?
> もっと直接的な言い方をすれば、Security のないOSに「App で Security を何とかしち
> ゃおうという無茶な考え」をするから、ちょっとした bug が命取りになる。OS の help
> なしで security は実現不可能な気がします。
ここ、ちょっと引っ掛かるんですが、たとえOSが完璧なsecurity systemを持っていたと
して、resourceをprocessにたいして公開しなければ、
> > :# 一番、セキュアなのは、どこにもつながないということですが、
> > :# そうなると、便利さも半減しそうですね。
> > いや、激減です。
これと、同じ意味なわけで、必ずresourceを必要としているprocessに
公開しなければならないわけです。
で、その開けたところで、如何にprocessのバグによってのholeを防ぐかって事が
大事なところだと思います。
sendmailは、設計上rootのeffective user id(UIDだっけ?)を持たなければならなかったので
良く踏み台にされてますが、いやなら他のMTAを使えば良いだけのことでは?
..snip..
> もしOSが、App から見える資源の仮想・孤立化と、その資源への access の制限を完璧
> にこなせて、資源と App の間の interface は、資源中の機密情報を絶対に流出させない
> もので、さらに、App は資源の重要な情報を絶対改変削除できなくて、しかも、OS が何ら
> かの error に出会ったときでも、完璧にそれらの処理・情報の伝達が、安全に、特権の違
> う code の間で受けわたされて、、、、。
これもっともですね。つまり、外とお話しするようなprocessは、内部のsystemに関すること
いっさいに手を出すことを不可能にし、もし何らかの必要性が生まれて、内部のresouceに
アクセスしなければならないときは、内部専用のプロセスとcommunicateする。
仮に、内部systemをいじるprocessにはOSというrankを持っていて、外とお話しするような
processはdaemonというrankをprocess tableか何かにいれておく。
で、とくていのsystem callなどは、process_table -> p_rank == OS でなければいけないとか?
で、deamonとOSな、processがお話しするときは、認証systemを入れるとか?(そんなアホな‥)
ウ〜ム、考えがまとまらない‥‥‥。
b-freeって、single userなOSなんですよね?つまり、全てのprocessがrootの権限?
せめて、multi level ranking(?)みたいなことをしないと、securityについては辛いのでは?
...snip...
> たとえると、Network の先で端末が、「Aki の端末」と言い張ったところで、Aki の端末
> に乗っている OS が簡単に crack されるなら、もしかしたら誰かが、盗難バイクと同じに
> 端末を盗んで内部を改変して「Aki の端末」を仕立てているかもしれないわけで、そんな
> 端末の言うことを信用して、重要な情報をやり取りするのはばかげているわけです。
>
> いや実際に、Aki の端末「だった」かも知れないけれど、今は、しっかり敵の手に落ちて
> いるとか。
>
> だから、TCB の内部で身元証明ができる必要があるわけで、そういった意味で、OSはと
> ても大切だなあと思うわけでした。
この辺は認証systemなのでなんとも言えません。いくら128bitを使ったとしても
passwordを持つuserが、passwordを外に流してしまえば穴になるわけですし。
#いつか何かの本で、「accountをunixの上で一つ作るごとに、holeが一つ増えていくと思え」
#というのを本で読んだことがあります。
#認証する必要もなくbugを持ったprocessも走っていない、つまり
#DOSくらいなんでもできちゃう様なOS(とは呼べないが ^^;)
#だとしても、accountが0、外用に開いてる口がないならsecurityは完璧なのでは?
--
Yasushi Shoji | my pgp public key is
yashi@yashi.com | http://yashi.com/public_key.txt
yashi@kafka.salem.mass.edu | powered by linux and open source softwares