Привет,
>> > Если ты поставишь schg на /etc, то я буду искать бинарь без
>> > флага schg, которую ты запускаешь перед установкой securelevel.
>> Значит таких бинарей быть не должно.
ier> Это понятно, я к тому веду, что это все затрудняет жизнь хотя,
ier> видимо, можно было это сделать на уровне конфига кернела.
Что именно ? securelevel=2 до начала загрузки ? Можно и вручную похачить,
только fsck работать перестанет. А после запуска /sbin/init всем уже рулит он,
не кернелово дело securelevel поднимать.
>> Не забывай, у меня еще бэкапы есть :). Кстати, делать backup отдельной
>> машиной, подключенной к тому же SCSI почти реально.
ier> Тоже об этом сейчас думаю.
Я сказал - почти. Задница в том, что содержимое диска и содержимое файловой
системы отличается на содержимое кэша. Следовательно, бэкапить с SCSI нельзя
(dump'у диск доступен через кэш). Приходим к выделенным NFS (/coda/AFS)
серверам, которые придется считать secure. Тоже метод, но он не имеет отношения
к поставленной задаче - 100%-гарантированной самопроверке системы.
>> Давай все-таки определимся.
ier> Давай. Мы говорим об академическом случае со всеми "принимаем за факт,
ier> что..." и "быть не должно" или о реальной работе с возможными ошибками
ier> человека и гением хакера, который пользуется этим?
В случае реальной работы и реальной доступной нам техники (вероятно, можно
спроектировать железку таким образом, чтобы где-то там внутрях проверялась
нужная нам контрольная сумма), не существует способа сделать абсолютно
защищенную от хакера среду исполнения, которая при этом еще и работала бы.
Просто по той причине, что и хакеру и руту доступны в общем случае одинаковые
наборы действий, а далее работает поговорка про задницу и винт.
Единственная разница между рутом и хакером заключается в том, что хакер
приходит через сеть.
Отсюда вывод. Можно доверять только тому, что лежит на read-only media, защита
от записи на которой не снимается программно. Таких медий мне известно
несколько - SCSI-диск с включенным джампером read-only, CDROM, флопик в соотв.
позиции и UW-ROM. Естественно, весь код, который занимается чтением с этих
медий должен быть тоже немодифицируем. Т.е. жить в ROM. Тогда ты всегда
прочтешь с этих девайсов ровно то, что туда было записано. Вот тебе защищенная
система, правда она unusable.
Все остальное есть спекуляция в защищенности которой ты можешь быть уверен
ровно настолько, насколько уверен в отсутствии ошибок в коде. Особенно в том,
который занимается исполнением пользовательских поручений с более высоким
уровнем привилегий.
Возвращаясь к теме. Предполагая, что хакер - гений, мы сразу вынуждены
сдаваться ему без сопротивления. Вдруг он умеет усилием мысли программировать
наш SCSI контроллер ? Поэтому готовясь к отражению хакерской атаки мы должны
решить, какие механизмы защиты OS мы считаем работающими и танцевать уже от
этой печки. Если securelevel/schg считается надежным, то надо им пользоваться.
Ну и так далее - все что можно написать дальше - общеизвестно.
>> Если не доверяем, то система должна грузиться с CD и работать
>> с него же.
ier> Этого не достаточно. Я могу искать дыры в работающей системе и
ier> регулярно ими пользоваться пока ты их не обнаружишь.
Естественно. Но от этого ты не защищен никогда.
ier> В идеале, нужен анализ всей активности в местах, где ее должен быть
Что предлагается делать, если атакер подменил мониторинг активности ?
С уважением,Alex Tutubalin
--- GoldED 2.42.G1114+
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
