На курсах рассматривались недостатки ОС на базе Unix и Windows

пароль рута легко сбрасывается при наличии физического доступа к машине

при наличии такого доступа вообще никакие программные методы защиты ничего не стоят

а как ты софт обновлять будешь?

При наличии физ.доступа программные методы не спасают хотя бы потому, что если можно вскрыть корпус - то можно и камеры тихо установить.

Пароль root меняешь на нереальный (или же отключаешь рут, как таковой), создаёшь учётку admin, выдаёшь ей определённые полномочия (которые считаешь разумным), и от неё всем рулишь.

спасут эти камеры, ага

создаёшь учётку admin, выдаёшь ей определённые полномочия

а толку? рут доступ в любом случае будет нужен

Ты не понял, я о том, что если враг может получить физ.доступ, то он может решать вопрос не программно, а просто воткнуть наблюдение, которое направлено на любые нужные аппараты - на клавиатуру, моник, или ещё что.

Значит пароль руту 50-значный, хранящийся на бумажке во внутреннем кармане трусов самого-главного-админа.

В качестве недостатка обеих ОС указывалась невозможность ограничить права супер-пупер админов.

Вместо того, чтобы посадить юзера в стандартную учетку, бгг.

Я так понял, что ребята, которые преподавали... Не совсем семи пядей во лбу по части Linux...
У них есть нормативки ФСБ и ФСТЭК. И есть перечень сертифицированных средств защиты. В том числе и перечень сертифицированных ОС для разных классов...

Я им сказал следующее.
Как только вы отключите root, то значит все человеческие полномочия перейдут тупой машине.
Терминатор, Ссудный день, Астала виста...

Значит пароль руту 50-значный, хранящийся на бумажке во внутреннем кармане трусов самого-главного-админа.

Главное, чтобы он не забыл вынуть её оттуда, перед тем как кинуть их в стирку.

Ну, с ними всё ясно. Что сертифицировано - то безопасно. Что не сертифицировано - то небезопасно.

...в завязанном презервативе без смазки.

В sudoers заведу группу, которой выдам права суперпользователя без пароля на apt, yum или что там за пакетник. Так и буду обновлять.

Астала виста...

чего виста сделала?

Hasta la vista

окей с конфигами также сделаешь :) и будет у тебя сем-восем маленьких групп по 1к человек для всего. :)

Можно эти группы синхронизировать с LDAP - и тогда все будет няшно и прозрачно

Или я чего-то не догоняю? Из-за маленького стажа использования >Linux...

Не догоняешь. Но не из-за стажа, а из-за непонимания принципов зашиты информации . Защита должна строится с самого низкого уровня. Дело в том что каждый уровень имеет санкционированный доступ ко всем последующим, но при этом не имеет доступа к предыдущим.По этому не защитив железо от физического воздействия нельзя идти дальше.Предложенную тобой систему запросто выломают.

В sudoers заведу группу, которой выдам права суперпользователя >без пароля на apt, yum или что там за пакетник. Так и буду >обновлять.

К сожалению обновлять нельзя.Тебе запросто запихнут обновление. Которое возьмет под контроль компьютер.

Ну да, если ничего не путаю, то это так называемый мандатный вариант. А есть еще доступ по ролям...

Государство рассматривает невозможность ограничить root как недостаток. У меня огромные подозрения, что это сделать вообще невозможно. Права root всегда нужны, следовательно, эти, так называемые недостатки, - избыточны.

Я им сказал следующее.
Как только вы отключите root, то значит все человеческие полномочия перейдут тупой машине.
Терминатор, Ссудный день, Астала виста...
Ссудный день,

День когда берешь ссуду?

Государство рассматривает невозможность ограничить root как недостаток. У меня огромные подозрения, что это сделать вообще невозможно. Права root всегда нужны, следовательно, эти, так называемые недостатки, - избыточны.

Расскажи государству про стандартные учетные записи и возможность отключить учетную запись root, как это сделано в убунте. Займись просвещением государства.

И бестолково.

А как тогда толково ? Явно же не руками везде прописывать

Логично. Но если не обновлять - то через некоторое время у меня появятся более существенные проблемы с безопасностью, чем люди, которые и так являются юзерами

Государство рассматривает невозможность ограничить root как >недостаток. У меня огромные подозрения, что это сделать вообще >невозможно. Права root всегда нужны, следовательно, эти, так >называемые недостатки, - избыточны.

Тут такое дело.Доступ и управление оным не является элементом ядра Linux. Т.е. если ты напишешь свою обвязку ядра Linux со своей системой прав это будет все еще Linux.Кстати такой Linux я видел.

В треде одни сопляки и про RSBAC ничего не слышали, зато своими сопливыми «мнениями» уже поделились.

Никто никогда ничего не может гарантировать

Недостаток один - человек с его слабостями

да просто уже признай что ты тряпка и пытаешься себя оправдать

хинт: когда что-то гарантируют — это означает, что берут на себя ответственность за ошибку

Да, никто и не спорит.

Я это не могу гарантировать.

Любопытно , а можно ли отключить ввод пароля и допускать к руту при условии воткнутого юсб-ключа ? А ключ у специального человека-безопасника.

Почему бы и нет?

Тогда почему это не рассматривается ? Или яттредтплохо читал

Но ты же можешь сформулировать в чем они были не правы (те кто вел эти твои курсы)?

В качестве недостатка обеих ОС указывалась невозможность ограничить права супер-пупер админов.

Лютейшее 4.2. Я бы лично после таких бы заявлений стребовал бы уплаченное бабло назад. Т.к. организатор курсов заведомо некомпетентен.

В линуксе спокон веку существует инфраструктура LSM. Поверх нее реализованы SELinux, AppArmor, TOMOYO и SMACK. И это только в ядре.

Для особо упоротых требовательных пользователей есть grSecurity и RSBAC вне ядра.

Если уж говорить про государственные линуксы, то Астра Линукс заявляет что в нем реализован MAC (т.е. права суперпользователя ограничиваются). Подробностей не знаю.

Пусть объясняют товарищи из РусБитТеха.

cast hobbit

Права root всегда нужны

Ты категорически неправ. Нужны права на правку конфигурационных файлов, права на перезапуск сервисов, права на просмотр протоколов, права на управление пользователями (и возможно удаление из домашних каталогов) и т.д.. А права root как единственной учетки, но которая зато умеет это всё сразу - не нужны. Просто так было проще сделать в старые времена, вот и всё.

А там где нельзя накатить «сертифицированные СЗИ» используется методика разделения пароля рута, когда половина пароля у сисадмина, половина у безопасника, так что чтобы обойти защиту, им надо сговориться.

возможность отключить учетную запись root, как это сделано в убунте

В убунте root не отключен, в убунте отключена возможность непосредственного входа с паролем рута (sudo -i -> id, какой uid будет?)

Любопытно , а можно ли отключить ввод пароля и допускать к руту при условии воткнутого юсб-ключа ? А ключ у специального человека-безопасника

Ты только что изобрел составной пароль, просто половина пароля превратилась в USB-ключ.

не помешало бы тэг еще добавить - тупняк

изобрел составной пароль

я просто это так не назвал, меня скорее смутил факт, что тут обсуждают, насколько не секурна ОСь при физическом доступе к машине, но не обсуждают подобного решения

ну или я тупой и чего-то до меня не доходит

с точки зрения требований государства

Есть мнение, что проблема в самом государстве.

Ограничиваются. В МСВС мы с мандатным контролем как-то доэкспериментировались до того, что root после этого не смог создать нового пользователя. В Астре механизм, как я понимаю, сильно похож на МСВСовский (хотя бы в силу того, что подстраиваются они под одни и те же нормативные документы). Но к сожалению (лично для меня - к счастью) вопросами тонкой настройки прав доступа у нас занимаются другие люди, так что я здесь не гуру.

Астре механизм, как я понимаю, сильно похож на МСВСовский

А что именно за механизм, если не секрет конечно? На основе SELinux или на основе чистого LSM или свои велосипеды?

Не задавался таким вопросом :)

Дык это давно уже есть. В настроечном режиме рут есть, он там выдает права админам сервисов, потом компьютер перезагружается в боевой режим, и рут уже тупо не может залогиниться. В «больших» юниксах это было уже в 80-х, когда военные начали активно пользоваться.