AbcLinuxu:/ Poradna / Linuxová poradna / Zamčení složek i pro rota

Štítky: bezpečnost, boot, desktop, DRM, firewally, FTP, Grub, hardware, HTML, Internet, iptables, KDE, kernel, Konqueror, LiLo, mc, Microsoft, NTFS, patch, práva, programování, prohlížeče, RPM, SELinux, software, Solaris, souborové systémy, správci souborů, šifrování, textové editory, urpmi, USB, Vim, web, Windows

Dotaz: Zamčení složek i pro rota

24.9.2007 11:52 Marko
Zamčení složek i pro rota

Přečteno: 2028×

Odpovědět | Admin

Dobrý den chtel jsem se zeptat, jestli jdou nejak zamknout slozky na serveru aby se na ne nedostal ani kdyz bude prihlaseny jako root, zni to mozna divne ale je to tak ;) Jde to prosim nejak? dik

Nástroje: Začni sledovat (0) ?

Odpovědi

24.9.2007 12:09 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Složky ne, ale adresáře jdou zamykat třeba pomocí LIDS

25.9.2007 12:59 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

jakýže je rozdíl mezi složkou a adresářem?

Amest I bovvered, forsooth?

25.9.2007 13:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Složka je soubor nějakých prvků (třeba souborů), adresář je seznam adres. Pro "množiny" souborů je podle mne srozumitelnější používat termín složka, ale někteří "linuxáci" to nemají rádi, protože s tím asi přišel Microsoft v českých lokalizacích Windows.

25.9.2007 15:07 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Pro "množiny" souborů je podle mne srozumitelnější používat termín složka, ale někteří "linuxáci" to nemají rádi, protože s tím asi přišel Microsoft v českých lokalizacích Windows.

O to ani tak nejde, podstatnější je, že termín složka vzbuzuje představu, že je soubor v nějaké složce uložen. Na unixových filesystémech je ale taková představa naprosto mylná a velmi matoucí: na nějaký soubor může být odkaz v deseti adresářích a nebo také v žádném.

25.9.2007 16:00 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

To ale neplatí jen pro unixové filesystémy, platí to i pro NTFS, pro síťové filesystémy (protože nikdy nevíte, jak je implementován ten skutečný filesystém, na kterém běží), a vzhledem k možnosti mountování různcýh (i síťových) filesystémů to platí prakticky pro cokoli – klidně můžete mít jeden soubor exportován jednou přímo z FAT a jednou z té samé FAT přes WabDAV a navrch ještě přes FTP – a hned máte jeden soubor ve třech umístěních.

Že to vzbuzuje nějakou představu, to by mi moc nevadilo, protože pokud už nad tím někdo přemýšlí, asi si dokáže najít, jak je to doopravdy. A běžného uživatele zmatete už tím, že má jednou svůj sdílený síťový disk dostupný jako R: (ve Windows), a podruhé to samé ještě jednou jako S:\user_name. A můžete tomu říkat složka nebo adresář, stejně to bude považovat za jeden z divů, co počítače umí.

Ostatně to samé se dá říci o adresáři – ten zase vzbuzuje představu, že jsou tam nějaké adresy. Což jednak nemusí být pravda, jednak adresy se vyskytují i na spoustě jiných míst, než jsou soubory. Zrovna na Linuxu, kde "všechno je soubor", je to přísné rozlišování na adresáře a složky takové všelijaké.

25.9.2007 17:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Ostatně to samé se dá říci o adresáři – ten zase vzbuzuje představu, že jsou tam nějaké adresy.

V podstatě ano - číslo inodu je svým způsobem adresa.

25.9.2007 22:31 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

No a? Uživatel pracuje s programy a s OS. Že tam jsou vespod nějaké inody pro něj není důležité, tomu se říká abstrakce. Názvosloví by mělo být srozumitelné koncovým uživatelům, aspoň pokud se spolu nebaví programátor jádra a autor souborového systému :-)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.9.2007 22:45 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Ten rozdíl má důsledky, které jsou podstatné i pro uživatele. Projevuje se to např. na chování linků.

25.9.2007 23:47 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Naopak je to pro něj velmi důležité. Když si na flashdisku udělá uživatel, který rozdíl složka/adresář ignoruje, složku locate:prace, potom přeformátuje disk a bude si chtít obnovit svojí "zálohu", tak bude koukat jako puk.

26.9.2007 08:04 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

To ale vůbec nepopisuje rozdíl mezi složkou a adresářem. Když si na tom flashdisku udělá jako zálohu symbolický link, dopadne úplně stejně. Když bude mít nějaký adresář namapován na dvou různých místech, dopadne taky stejně. A když bude mít odkaz na soubor, jehož obsah pak zkrátí na nulu, dopadne zase stejně.

Běžný uživatel nebude zkoumat, jak je která složka implementována, zda to zrovna je adresář nebo není adresář. A předpoklad, že soubor je obsahem složky, není špatný jen pro adresáře, ale i pro spoustu složek. Takže oblíbený argument, že složka je matoucí název, nemá žádnou oporu v praxi – pokud s nějaký uživatel myslí, že soubor je obsahem složky, tak si to myslí pro "objekt, v němž se mu soubory zobrazují v nějakém správci souborů". A je jedno, zda tomu objektu říká složka, adresář, directory nebo folder. Navíc se obávám, že byste marně hledali takového běžného uživatele, který bude mylně předpokládat, že soubor je obsahem složky, ale zároveň bude přísně rozlišovat mezi složkou a adresářem a bude chápat, co jsou to inody atd.

26.9.2007 10:22 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Dobře, vyjádřím se přesněji. Jádro poskytuje procesům k práci soubory a adresáře jako určitý druh abstrakce nad daty. Protože LIDS pracuje na této vrstvě, upozornil jsem na to tazatele, protože se ptal na složky, takže LIDS by teoreticky nemusel být to, co hledá. Co jsem udělal špatně?

26.9.2007 10:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Nevysvětlil jste, jaký je podle vás rozdíl mezi složkou a adresářem. Spousta lidí (a nejspíš i tazatel) to považuje za synonyma. A zrovna v tomhle případě nestačí říct, že jde o adresáře – jsou to adresáře souborového systému, jak je uložen na disku? Nebo jsou to adresáře přimountovaného souborového systému?

26.9.2007 14:18 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Já bych se to ani vysvětlovat nesnažil :D Budeme raději ti zlí RTFM linuxáci ;) Myslím, že to tazatel pochopí, až si bude chtít zabezpečit nějakou složku typu "Oblíbené", nebo třeba složku "Settings", "aby mu nikdo nehrabal do nastavení". Pak si třeba vzpomene na kolegu petrise, že říkal něco o tom, že LIDS zabezpečuje adresáře, ne složky :)

Taťka má třeba na Widlích v kořenové....... složce :D dvě různé složky, které se jmenují úplně stejně (Dokumenty). Ale jinak proti složkám nic nemám, aby někdo nemyslel.

27.9.2007 01:12 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Nevysvětlil jste, jaký je podle vás rozdíl mezi složkou a adresářem.

Nikdo se na něj neptal, když se pak zeptal, tak jsem ho vysvětlil.

A zrovna v tomhle případě nestačí říct, že jde o adresáře – jsou to adresáře souborového systému, jak je uložen na disku? Nebo jsou to adresáře přimountovaného souborového systému?

Teď se budu opakovat, ale třeba Vám to předtím uniklo: adresář je prostředek operačního systému, kde ho jádro vyčaruje Vám může být jedno. Takže stačí říct, že jde o adresáře.

27.9.2007 08:04 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Nikdo se na něj neptal, když se pak zeptal, tak jsem ho vysvětlil.

Pokud ten rozdíl považujete za zásadní, a tazatel mezi složkou a adresářem zjevně nerozlišuje, bylo by rozumné ten rozdíl vysvětlit rovnou. Zvlášť v situaci, kdy není neobvyklým jevem, kdy někdo bazíruje na tom používat v Linuxu název adresář v jakémkoli významu a složka je pro něj sprosté slovo.

Teď se budu opakovat, ale třeba Vám to předtím uniklo: adresář je prostředek operačního systému, kde ho jádro vyčaruje Vám může být jedno. Takže stačí říct, že jde o adresáře.

Pokud je adresář prostředek operačního systému, o kterém nemusím nic vědět, nemusím ani vědět, zda obsahuje soubory nebo jenom odkazy na ně. Nebo zda je to dokonce virtuální "filtr souborů". A pak je adresář plně ekvivalentní se složkou.

To ale rozhodně není tento případ, protože pro zabezpečení přístupu musím přesně vědět, čemu se přístupová práva nastavují. Je to adresář (prostředek operačního systému) v konkrétním souborovém systému na disku? Takže ať ten souborový systém připojím kamkoli, vždy se ta přístupová práva uplatní? Nebo je to adresář (prostředek operačního systému) určený umístěním v adresářové hierarchii počínající rootem? Takže když do /usr namountuji pokaždé jiný diskový oddíl, budou mít soubory se stejným názvem vždy stejná práva?

26.9.2007 13:59 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

"locate:něco" je jen (pseudo)protokol v KDE, rozhodně bych těm výsledkům hledání neříkal složka ani adresář. Ani mi není moc jasné, jak by si mohl uživatel na flešce vytvořit "složku locate:prace" Jestli myslíš ten .desktop soubor, tak to je přece soubor a ne složka, něco jako .lnk ve Windows. Pokud už na toho zástupce klikne, tak se mu i změní url na locate:něco, takže bych si nědělal starosti, že by si to pletl se složkou/adresářem.

To je jako když ti Windowsí uživatel přinese něco na USB disku a pak ale zjistíš, že tam vytvořil jen zástupce, místo aby tam ty soubory nakopíroval. Z toho ale nelze vinit technologie nebo názvosloví, to je pohá demence uživatelů :-)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.9.2007 13:40 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Složka je desktopový výraz a nemusí mít ekvivalent na disku. Například konqueror podporuje složku locate:vyraz, jejichž obsahem je to, co najde locate pro výraz vyraz. Případně když v mc otevřete rpm balíček, vidíte programy INSTALL a UNINSTALL(možná to není úplně přesně takto, s rpm jsem už dlouho nepřišel do styku), takže ten balíček se tváří je složka, ale není to adresář.

Myslím, že ten termín používal apple dřív než MS.

26.9.2007 02:25 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Také jsem pro to rozlišovat takto. Složka na desktop, adresář na disk. Když ls -ld zahlásí "d", tak to je directory, v opačném případě (ikona na desktopu s nejasnou vazbou na obsažená data) to může být folder. Navíc ls -f už má jiný význam :D

26.9.2007 14:18 outsider
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Nevim. nakolik je wikipedia duveryhodny zdroj, ale ...

"With the introduction of Windows 95, Microsoft started referring to directories as folders." (Murach's C# 2005, page 34)

26.9.2007 14:42 Ash | skóre: 53
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

To by ještě tak nevadilo, synonym si člověk může nadělat kolik chce, jenomže pak tu jsou ještě by "Speciální složky", což jsou z terminologického hlediska sice také složky, ale z faktického hlediska to nejsou adresáře.

Ten zmatek mi připomíná tohle: "staří dobří linuxáci" říkají kalhotám kalhoty, a košilím košile.

Okenáři přijdou s tím, že kalhotům se bude říkat nánožnice. Pak vymyslí něco, co se dá omotat kolem těla (hodně to připomíná sukni) a začnou tomu říkat taky nánožnice.

V tu chvíli vznikl problém, a myslím že nemůžeme nikoho prudit za to, když se v určitou chvíli důsledně vrátí ke starému dobrému "kalhoty" ve chvíli, když si třeba chce koupit kalhoty, a v obchodě mu nabízí něco, co ze všeho nejvíc připomíná sukni a říkají tomu speciální nánožnice.

24.9.2007 12:16 narg | skóre: 4
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Tipoval bych že by to neměl být problém pomocí SELinuxu.

MySQL is same as excel. Same features, same stability, same speed. simply... same.

24.9.2007 12:36 atan | skóre: 21 | Liberec
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

a k cemu by to bylo?

24.9.2007 13:06 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Snažit se zabránit rootovi aby dělal cokoliv je poněkud pošetilé... jediné co je schopné tvá data uhlídat je šifrování.

Hello world ! Segmentation fault (core dumped)

24.9.2007 13:26 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Nasměrujte svůj prohlížeč na www.lids.org, přečtěte si dokumentaci a potom své tvrzení přehodnoťte.

24.9.2007 13:57 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Vzhledem k tomu, že je tam nějaký soubor patch a nějaké .tar.gz, tipoval bych si, že se jedná o software. A ten těžko může zabránit tomu, aby si root nainstaloval upravenou verzi téhož společně s keyloggerem, a až bude uživatel k daným datům přistupovat, prostě si heslo odchytí (nebo si ta data přečte rovnou z paměti). Před rootem, který má právo na vyměnit jádro, vás ochrání jedině (de)šifrování v externím zařízení, které root nemá pod kontrolou (tj. např. čipová karta, kam pošlete hash, zadáte přímo na ní pin a ona vrátí hash podepsaný či zašifrovaný). Vzhledem k tomu, že root může číst celou paměť, je i tohle použitelné jen pro jednorázová hesla nebo podpisy – jakmile takhle něco rozšifrujete, má root možnost si to přečíst (ale nezná heslo a nedostane se k ničemu, co jste zatím nerozšifroval). Pravda, ještě je jedna možnost – DRM. Tedy že hardware zabrání běhu neautoriovaného kódu, třeba nepodepsaného jádra.

24.9.2007 14:07 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Zřejmě jste se o to moc nezajímal, proto než budete znovu reagovat, tak si alespoň přečtěte, co ten software dělá. Jádro samozřejmě jde modifikovat tak, aby některé akce nemohl provést ani root. Celý Váš příspěvek je nesmysl.

24.9.2007 14:45 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

To by mne zajímalo, jak takové modifikované jádro zabrání tomu, aby root vypnul jistič, vyměnil jádro za takové, které mu umožní některé akce provést, a nabootoval s tímhle novým jádrem.

24.9.2007 14:48 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

To je ovšem dost podstatný rozdíl, jestli se bavíme o "někom, kdo je přihlášený jako root" a "někom, kdo má fyzický přístup k počítači a šroubovák a rescue CD v kapse".

24.9.2007 15:06 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Roota obvykle mívá majitel serveru a ten mívá i fyzický přístup. Pokud je to někdo jiný a není důvěryhodný, nemá mít roota.

Hello world ! Segmentation fault (core dumped)

24.9.2007 15:08 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Jo, teorie a praxe :)

24.9.2007 15:42 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

1. Mám třeba roota (legálně) na jednom serveru, ke kterému je fyzický přístup dost problematický (je to 60 kilometrů daleko, dostat se tam dá jen ve všední den v pracovní době a ještě se musím předem domluvit. Majitel toho serveru tam nemá roota vůbec (stejně by nevěděl co s ním).

2. Nástroje, o kterých je tu řeč, jsou určeny právě pro případ, kdy přístup na úrovni roota (nebo kontrolu nad démonem, který pod rootem běží) získá někdo, kdo ho mít nemá. Samozřejmě by se to stávat nemělo, ale chyby se dějí a jedna pojistka navíc není k zahození.

25.9.2007 11:50 Dejv | skóre: 37 | blog: Jak ten blog nazvat ... ? | Ostrava
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

... a není důvěryhodný ...

Čtěte.

Pevně věřím, že zkušenější uživatelé mě s mými nápady usměrní a pošlou tam, kam tyto nápady patří...

25.9.2007 11:57 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Čtěte také. Toho se týká bod 2.

24.9.2007 15:26 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Reset počítače vypnutím jsitiče jsem uvedl pro zjednodušení. Důležité je, zda má možnost změnit jádro. K tomu stačí mít možnost restartovat počítač a buď přepsat původní jádro, nebo změnit parametry zavaděče. Nedovedu si představit, že by root měl tak omezená práva, že nebude moci ani zavést jiné jádro. Pak by stejně musel existovat někdo jiný, kdo by tohle právo měl – tj. ekvivalent roota. Prostě kdo zavádí do počítače operační systém, ten má nad počítačem a vším, co se v něm děje, absolutní moc. Alespoň pokud se bavíme o dnešních běžných PCčkách.

24.9.2007 15:43 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Lids jsem moc neznal, ale stačí pár minut, aby člověk našel základní informace, jako např. http://www.roedie.nl/lids-faq/html-multiple/unusable-system.html

4.6. Help!!! My system is totally unusable! What do I do?
You can reboot into a non-LIDS enhanced kernel, or boot into your LIDS enhanced kernel with LIDS disabled to try and patch things up. To boot with LIDS disabled, specify lids=0 at the lilo prompt. For example, if your LIDS enhanced kernel is called lids-kernel you would enter the following at the lilo prompt:
lilo: lids-kernel lids=0
That's the easy part. The difficult part is getting your LIDS enabled system to shutdown. You may not be able to shutdown successfully depending on your LIDS configuration.

Pokud root nebude mít právo zápisu do konfigurace boot manageru, nemá šanci vzdáleně rebootnout do jiného kernelu.

24.9.2007 16:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Pokud root nebude mít právo zápisu do konfigurace boot manageru, nemá šanci vzdáleně rebootnout do jiného kernelu.

Na to nepotřebuje právo zápisu, třeba s grubem tu konfiguraci může změnit během bootu (při troše dobré vůle ze strany toho, kdo grub konfiguroval, dokonce i po síti).

24.9.2007 16:22 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

I s tím GRUBem se to ale dá nastavit tak, že bez nabootování z vlastního média (tj. při rozumném BIOSu bez otevření počítače - bohužel je rozumných BIOSů čím dál méně) tu konfiguraci nezmění. U permanentně běžícího serveru bych takovou konfiguraci považoval za standardní volbu.

24.9.2007 16:30 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Samozřejmě jsem nepředpokládal, že útočník má přístup k bootovací konzoli grubu při restartu - to už může bootnout z CD nebo třeba vyměnit server :) Všechno je to o vzdáleném přístupu, jak již bylo výše uvedeno.

24.9.2007 16:51 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Buď pro výměnu kernelu netřeba reboot nebo jsem nepochopil kexec :-)

24.9.2007 17:07 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Myslíte, že vám při nasazení zmíněných prostředků správce serveru nechá něco takového povoleného?

24.9.2007 17:13 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Myslím, že není nepřehlédnutelný...

24.9.2007 17:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Pokud se konfigurace bude vytvářet podle principu "a priori všechno zakážu a pak povolím, co bude potřeba", pak přehlédnutí typicky vedou spíš k nefunkčnosti než k bezpečnostní díře.

24.9.2007 17:25 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Dobře, můžeme uzavřít sázku. Dám Vám root účet na stroji, kde bude Vaším úkolem přečíst soubor. Cena by mohla být například toto.

24.9.2007 17:27 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Doufám, že mu dovolíte aspoň spustit příkaz id, aby si mohl aspoň ověřit, že ten uživatel root má opravdu UID nula. :-)

24.9.2007 17:59 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Obávám se, že rozepře v diskuzi je příliš malá motivace na to, aby se někdo pokoušel dostat do byť jen minimálně zabezpečeného počítače. Předpokládám ale, že pokud někdo chce zabezpečit něco před rootem, důvodně očekává, že motivace protistrany bude mnohem vyšší – a bude tedy ochotna shánět kde se server fyzicky nachází, případně se k němu i fyzicky dostavit, bude ochotna zkoumat různé potenciální slabiny, věnovat se pokusům něco vymámit z uživatelů atd.

Uzavřel bych to tím, že systémy jako SElinux nebo LIDS zvyšují bezpečnost, ale nejsou absolutně bezpečné. A zrovna obrana proti administrátorovi serveru je v Linuxu záležitost značně obtížná, až nemožná. Pokud vím, SElinux nebo LIDS mají chránit systém před chybami v aplikacích, které běží pod právy roota. Což je trochu něco jiného (a jednoduššího), než chránit server před člověkem, který ma ten server na starosti.

24.9.2007 20:36 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Dotaz zněl jak zamezit přístupu roota někam a ne jak zabezpečit počítač proti někomu, kdo se k němu vloupá a ukradne/rozebere ho. Když někdo chce zabezpečit něco před rootem, dělá to třeba proto, aby mu případný průnik způsobil co nejmenší škody, aby útočník třeba neukradl soubory s důležitými daty. Pokud Vám jde o malou motivaci, můžeme ji zvýšit - navrhněte jak.

Z Vašeho příspěvku mám pocit, že nejste schopen přiznat svůj omyl a snažíte se to hodit na to, že jste vlastně od začátku předpokládal, že na ten stroj někdo fyzicky zaútočí z bezprostřední blízkosti (což je úplně mimo původní dotaz).

24.9.2007 20:57 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Nikoli, každý ten dotaz chápeme jinak. Vy ho chápete jako „já jsem root na serveru a chci ten server zabezpečit tak, aby i když někdo např. ovládne aplikaci, která běží pod rootovskými právy, a dokáže z ní spouštět svůj kód, mohl napáchat co nejméně škody“. V takové situaci jsou SElinux nebo LIDS ty správné nástroje, a hned první dva komentáře je zmiňují.

Já dotaz chápu jako „někdo mi nainstaloval počítač a administruje ho, já ale potřebuju něco schovat tak, aby to ani on nemohl najít“ nebo dokonce „jsem běžný uživatel na počítači a mám tady něco, co by root neměl vidět, potřebuji to před ním schovat“ (např. žák ve škole hry). Ve druhém případě je SElinux i LIDS úplně k ničemu, protože je jako běžný uživatel nemůžete použít, v prvním případě sice můžete rootovi říct, že má nainstalovat a nakonfigurovat SElinux, al ezase vám nezbývá, než mu věřit, že to udělal a že si tam nikde nenechal zadní vrátka.

Nebo se to dá říci i jinak. Všechny zmíněné nástroje brání roota před sebou samým, případně před útočníky, kteří získají práva roota (a tam pak opravdu „stačí“ zamezit fyzickému přístupu k počítači a ošetřit síťové vstupy – např. již zmíněnou konfiguraci grubu). Ale neexistuje nástroj, který by před rootem chránil běžného uživatele (protože v takovém případě nestačí bránit budoucím útokům, ale potřeboval byste mít i jistotu, co se dělo s počítačem dříve – zda už tam nejsou nějaká zadní vrátka).

Pokud byste chtěl vyvrátit to, o čem píšu já, musela by sázka znít jinak – já nainstaluju počítač, dám vám k němu přístup běžného uživatele a vy na tom počítači něco schovejte tak, abyste byl schopen to v budoucnosti jen s prostředky toho počítače zase využít, a abych se k tomu já jako root nedostal. Ale stejně z toho nic nebude, protože já se nesázím z principu :-)

Asi nemá smysl se přít, co měl na mysli původní tazatel, to by nám mohl zodpovědět jedině on.

25.9.2007 14:32 0man
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Autor by mel opravdu presne specifikovat, o co mu jde.

Bud mu nekdo spravuje server a chce pred nim schovat data, pak je asi nejlepsi ty data sifrovat (gnupg, x509) na vlastni stanici a posilat na server zasifrovane.

Nebo se boji toho, ze mu muze server nekdo ukrast/zabavit a pak se dostat na data, pak by mu mohlo stacit pouzit transparentni sifrovani (truecrypt, cryptsetup-luks, encfs).

Nebo chce chranit server pred napadeni nejake sluzby, ktera bezi s pravy roota, pak by mel asi pouzit ty SElinuxy a LIDSy a podobny. (ale mam dojem, ze o tohle tady nejde.)

24.9.2007 15:45 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Pak by stejně musel existovat někdo jiný, kdo by tohle právo měl – tj. ekvivalent roota.

On to právě není ekvivalent. Vzhledem k nešťastné historické koncepci oprávnění (root může všechno - a ledacos může jen root) je potřeba aby pod rootem běžela řada procesů z naprosto malicherných důvodů, třeba jen proto, že potřebují poslouchat na portu s číslem menším než 1024. Systémy jako SELinux, LIDS a svým způsobem i AppArmor existují právě pro případ, kdy nad takovou aplikací získá kontrolu někdo s nekalými úmysly.

24.9.2007 16:16 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Ano, napsal jsem to nepřesně. Ten, kdo má právo vyměnit kernel, má nad počítačem absolutní moc. Před rootem tedy zabezpečit lze, před tím-kdo-může-vyměnit-kernel ne.

24.9.2007 23:43 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

je potřeba aby pod rootem běžela řada procesů z naprosto malicherných důvodů, třeba jen proto, že potřebují poslouchat na portu s číslem menším než 1024.

Pokud je číslo portu jediným důvodem, tak přece můžeme použít přesměrování pomocí iptables. Služba běží na vyšším portu a z privilegovaného se na něj přesměrovává.

K té koncepci: vždycky musí existovat nějaký "vlastník" počítače, který si s ním může dělat úplně cokoli. Nepřál bych si mít stroj, který bych nemohl (v případě potřeby) plně ovládat. Co někdy asi trochu chcbí, je možnost, delegovat některá práva na jiné uživatele. To ale také není neřešitelné - viz třeba Solaris.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.9.2007 00:02 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

K té koncepci: vždycky musí existovat nějaký "vlastník" počítače, který si s ním může dělat úplně cokoli.

Ve fyzickém smyslu ano. Ale není důvod, proč by to musel být jeden speciální uživatelský účet.

Lépe to samozřejmě vyřešit lze. Že to jde i v Linuxu, to ukazují právě zmíněné nástroje typu SELinux, LIDS, AppArmor apod. I když trochu překvapivě (aspoň pro mne) ale všechny jdou cestou omezení navíc, žádný nepočítá s tím, že by naopak povolil přidělování capabilities procesům s nenulovým EUID.

25.9.2007 07:59 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

I když trochu překvapivě (aspoň pro mne) ale všechny jdou cestou omezení navíc, žádný nepočítá s tím, že by naopak povolil přidělování capabilities procesům s nenulovým EUID.

Ono je to překvapivé z pohledu uživatele – ten by samozřejmě radši přidělil procesu jen právo naslouchat na portu 80. Ale z pohledu programátora chápu, proč je to zrovna takhle – je to stará dobrá zásada nesahat na něco, co funguje. A přístupová práva jsou na Linuxu (a unixech) léta ověřená a funkční, a přidělování capabilities nenulovým EUID by znamenalo dělat do tohohle systému díry. Což se samozřejmě nikomu nechce.

25.9.2007 10:55 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Já bych spíš řekl, že se v praxi ukázalo, že přístup založený na kombinaci

proces s EUID==0 smí provést jakoukoli privilegovanou operaci
kteroukoli privilegovanou operaci smí provést pouze proces s EUID==0

je z bezpečnostního hlediska naprosto nevhodný. Odlišné bezpečnostní modely jdou cestou výjimek z prvního pravidla. Já se snažím naznačit, že i když to vypadá na první pohled nesmyslně, mohlo by bezpečnost zvýšit i zavedení výjimek z druhého pravidla (protože by pak nemuselo tolik procesů celkem zbytečně běžet pod rootem).

25.9.2007 11:49 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

To by chtělo Role-based access control ze Solarisu.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.9.2007 12:54 petris
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Tak pro ty procesy je možné napsat zavaděč, který se po startu vzdá všech nepotřebných oprávnění a pak execne vlastní proces. Případně webserver může zavolat socket, získat tak soket pro port 80, a pak si změnit uživatele.

25.9.2007 15:01 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Tím ale problém nevyřešíš, jen obejdeš (a běžně se tak obchází).

Hello world ! Segmentation fault (core dumped)

25.9.2007 17:27 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

A zatím jediným řešením by bylo používání souborových kvalifikací (file posix capabilities). Akorát by se musely dostat do jádra a taky rozšířit. Přičemž hlavně to rozšíření je hodně velký problém. A další problém je, že podpora pro kvalifikace zatím není napsaná snad ani pro jeden FS.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

26.9.2007 22:18 ivan | skóre: 17 | blog: ivan
Rozbalit Rozbalit vše Re: Zamčení složek i pro rota

Dalsi moznosti, ktera ale neni sama o sobe uplne samospasitelna je tzv. princip 4 oci. Takove vec se da nastavit treba na AIXu(ten nema pam moduly). Uzivatel root sam nema heslo a k prihlaseni na roota potrebujete hesla alespon dvou adminu.

Založit nové vlákno • Nahoru

Tiskni Sdílej: