[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[b-free: 1717] Re: B-FreeOS セキュリティ関連



きしだです。

やすしさんコメントされました:
:> :> 個人的には複数に権限を分けて、その資源に対して操作する場合はその権限を
:> :> 持った状態でしか作業できない様にしてしまうのが良いのではないかと思って
:> :> います。
:> :> どれかを取られても全部は取られない所がミソではないかと思います。
:> :> (一度に全部の権限を使うかどうかは個人の好み)
:> :いやまあ、しかしながら、そうしてしまっても、
:> :su みたいなことができてしまうと、意味がないと思いませんか?
:> :というか、ある権限レベルから別の権限レベルへのスイッチという
:> :ものは、必要になると思うんですよ。
:> :結局、あらゆる権限にスイッチできる権限というものが、
:> :最高の権限になってしまうわけです。
:> :NT がまさに、そういう状態でして、個々のファイルのアクセス権に
:> :Administrators を入れなければ、たとえ Administrator でも
:> :GUI からは、そのファイルにアクセスできないわけですが、
:> :Administrators は、誰にでもスイッチできてしまうので、
:> :結局それって、手間が1段階増えただけじゃないかという...
:> ここでは 逆に root を無くして何個かに分けようと思っています。
:> 3つ集めればrootになれると...  (^^)
:> それか、誰かの承認がいるとか...
:> ここら辺は要検討ですね。
:3つって言うのが、もし、モードの数なら同じ意味なのですが。
:rootの存在も、suという機能もはずすというのはどうですか?
:そのかわり、うにくす系で言うbin, daemon, sys, admなどのuserのような、modeを
:作ります。で、suの代わりにam(add mode)とcm(cut mode off) or sm(separate mode)
:のような、コマンドを用意します。modeは、うにくす系のgroupににて、am/cmを行った
:からと言って、前のモードの属性を失うことはありません。うにくす系では、
:/etc/groupに書き込むか、それに代わるコマンドを実行しない限り1 userをグループに
:加えることができませんが、これを、パスワード認証に変えます。今、作っているのは、
:modeなので、このファイルは、/etc/modeになるかもしれません(どっちにしてもうにくす
:系のFilesystemHierarchyじゃないか‥)
:こうすることにより、一人のuserは、欲しいmode(または、group)を、好きなときに加
:えたり、取り外したりすることができるようになります。これなら、一人or一つの
:processが、必要のない権限まで持つと言うような事は、起りづらいのでは?
:あまり、細かく分すぎると、modeを足したり引いたりばかりで、うざくなってくるかも
:しれません。
:つまり、すべてのmodeを足したときに、ルートになるのと同じことになります。
:すべてのmodeを足して作業するかしないかは、その人によりますね。

丁寧な説明ありがとうございます。つらつら考えていたものを明確にして頂けました。

あと、注意すべき点は、一度に複数のモードを最初から持っているや、
たくさんのモードを一度に持つ事を注意する必要があるのではないかと
思っています。

:#でも、それだけのパスワードを覚えておくのは大変?
:#それなら、同じパスワードにすれば良いだけで、
:#そうするかしないかは、使う人次第。
それは ちとまずいでしょう。 警告ぐらいは出したい所です。

---------------------------------------------------------------------------
きしだまさみ
mailto:mkishida@fecsi.furuno.co.jp
---------------------------------------------------------------------------