LINUX.ORG.RU

На курсах рассматривались недостатки ОС на базе Unix и Windows

 , ,


0

2

На курсах рассматривались недостатки ОС на базе Unix и Windows. Ну, с точки зрения требований государства. Нашего. Курсы - по безопасности, по технической защите... В качестве недостатка обеих ОС указывалась невозможность ограничить права супер-пупер админов.

Предложил следующий вариант (на базе Linux)
Если нужна система с заданными параметрами... Ставим дистрибутив. Пакеты и параметры заранее настроены в соответствие с требованиями. Сразу после установки пароль root автоматом меняется без участия пользователя. То есть потом ничего перенастроить нельзя. Только пользоваться прикладными программами. Требования ограничить root соблюдены. И систему можно сертифицировать..
Профит...

Или я чего-то не догоняю? Из-за маленького стажа использования Linux...

Спасибо!

пароль рута легко сбрасывается при наличии физического доступа к машине

при наличии такого доступа вообще никакие программные методы защиты ничего не стоят

anonymous
()
Ответ на: комментарий от anonymous

При наличии физ.доступа программные методы не спасают хотя бы потому, что если можно вскрыть корпус - то можно и камеры тихо установить.

Valdor ★★
()

Пароль root меняешь на нереальный (или же отключаешь рут, как таковой), создаёшь учётку admin, выдаёшь ей определённые полномочия (которые считаешь разумным), и от неё всем рулишь.

Valdor ★★
()
Ответ на: комментарий от Valdor

создаёшь учётку admin, выдаёшь ей определённые полномочия

а толку? рут доступ в любом случае будет нужен

spichka ★★★
()
Ответ на: комментарий от anonymous

Ты не понял, я о том, что если враг может получить физ.доступ, то он может решать вопрос не программно, а просто воткнуть наблюдение, которое направлено на любые нужные аппараты - на клавиатуру, моник, или ещё что.

Valdor ★★
()
Ответ на: комментарий от spichka

Значит пароль руту 50-значный, хранящийся на бумажке во внутреннем кармане трусов самого-главного-админа.

Valdor ★★
()

В качестве недостатка обеих ОС указывалась невозможность ограничить права супер-пупер админов.

Вместо того, чтобы посадить юзера в стандартную учетку, бгг.

Deleted
()
Ответ на: комментарий от Valdor

Я так понял, что ребята, которые преподавали... Не совсем семи пядей во лбу по части Linux...
У них есть нормативки ФСБ и ФСТЭК. И есть перечень сертифицированных средств защиты. В том числе и перечень сертифицированных ОС для разных классов...

Я им сказал следующее.
Как только вы отключите root, то значит все человеческие полномочия перейдут тупой машине.
Терминатор, Ссудный день, Астала виста...

Fatalerror
() автор топика
Ответ на: комментарий от Valdor

Значит пароль руту 50-значный, хранящийся на бумажке во внутреннем кармане трусов самого-главного-админа.

Главное, чтобы он не забыл вынуть её оттуда, перед тем как кинуть их в стирку.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Fatalerror

Ну, с ними всё ясно. Что сертифицировано - то безопасно. Что не сертифицировано - то небезопасно.

Valdor ★★
()
Ответ на: комментарий от spichka

В sudoers заведу группу, которой выдам права суперпользователя без пароля на apt, yum или что там за пакетник. Так и буду обновлять.

Balantay
()
Ответ на: комментарий от Fatalerror

Астала виста...

чего виста сделала?

Hasta la vista

spichka ★★★
()

Или я чего-то не догоняю? Из-за маленького стажа использования >Linux...

Не догоняешь. Но не из-за стажа, а из-за непонимания принципов зашиты информации . Защита должна строится с самого низкого уровня. Дело в том что каждый уровень имеет санкционированный доступ ко всем последующим, но при этом не имеет доступа к предыдущим.По этому не защитив железо от физического воздействия нельзя идти дальше.Предложенную тобой систему запросто выломают.

BlackJack
()
Ответ на: комментарий от Balantay

В sudoers заведу группу, которой выдам права суперпользователя >без пароля на apt, yum или что там за пакетник. Так и буду >обновлять.

К сожалению обновлять нельзя.Тебе запросто запихнут обновление. Которое возьмет под контроль компьютер.

BlackJack
()
Ответ на: комментарий от BlackJack

Ну да, если ничего не путаю, то это так называемый мандатный вариант. А есть еще доступ по ролям...

Государство рассматривает невозможность ограничить root как недостаток. У меня огромные подозрения, что это сделать вообще невозможно. Права root всегда нужны, следовательно, эти, так называемые недостатки, - избыточны.

Fatalerror
() автор топика
Ответ на: комментарий от Fatalerror

Я им сказал следующее.
Как только вы отключите root, то значит все человеческие полномочия перейдут тупой машине.
Терминатор, Ссудный день, Астала виста...
Ссудный день,

День когда берешь ссуду?

Deleted
()
Ответ на: комментарий от Fatalerror

Государство рассматривает невозможность ограничить root как недостаток. У меня огромные подозрения, что это сделать вообще невозможно. Права root всегда нужны, следовательно, эти, так называемые недостатки, - избыточны.

Расскажи государству про стандартные учетные записи и возможность отключить учетную запись root, как это сделано в убунте. Займись просвещением государства.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от spichka

А как тогда толково ? Явно же не руками везде прописывать

Balantay
()
Ответ на: комментарий от BlackJack

Логично. Но если не обновлять - то через некоторое время у меня появятся более существенные проблемы с безопасностью, чем люди, которые и так являются юзерами

Balantay
()
Ответ на: комментарий от Fatalerror

Государство рассматривает невозможность ограничить root как >недостаток. У меня огромные подозрения, что это сделать вообще >невозможно. Права root всегда нужны, следовательно, эти, так >называемые недостатки, - избыточны.

Тут такое дело.Доступ и управление оным не является элементом ядра Linux. Т.е. если ты напишешь свою обвязку ядра Linux со своей системой прав это будет все еще Linux.Кстати такой Linux я видел.

BlackJack
()

В треде одни сопляки и про RSBAC ничего не слышали, зато своими сопливыми «мнениями» уже поделились.

unanimous ★★★★★
()

Недостаток один - человек с его слабостями

int13h ★★★★★
()
Ответ на: комментарий от int13h

хинт: когда что-то гарантируют — это означает, что берут на себя ответственность за ошибку

anonymous
()

Любопытно , а можно ли отключить ввод пароля и допускать к руту при условии воткнутого юсб-ключа ? А ключ у специального человека-безопасника.

Dred ★★★★★
()
Ответ на: комментарий от int13h

Тогда почему это не рассматривается ? Или яттредтплохо читал

Dred ★★★★★
()

Но ты же можешь сформулировать в чем они были не правы (те кто вел эти твои курсы)?

anonymous
()

В качестве недостатка обеих ОС указывалась невозможность ограничить права супер-пупер админов.

Лютейшее 4.2. Я бы лично после таких бы заявлений стребовал бы уплаченное бабло назад. Т.к. организатор курсов заведомо некомпетентен.

В линуксе спокон веку существует инфраструктура LSM. Поверх нее реализованы SELinux, AppArmor, TOMOYO и SMACK. И это только в ядре.

Для особо упоротых требовательных пользователей есть grSecurity и RSBAC вне ядра.

Macil ★★★★★
()

Если уж говорить про государственные линуксы, то Астра Линукс заявляет что в нем реализован MAC (т.е. права суперпользователя ограничиваются). Подробностей не знаю.

Пусть объясняют товарищи из РусБитТеха.

Macil ★★★★★
()
Ответ на: комментарий от Fatalerror

Права root всегда нужны

Ты категорически неправ. Нужны права на правку конфигурационных файлов, права на перезапуск сервисов, права на просмотр протоколов, права на управление пользователями (и возможно удаление из домашних каталогов) и т.д.. А права root как единственной учетки, но которая зато умеет это всё сразу - не нужны. Просто так было проще сделать в старые времена, вот и всё.

А там где нельзя накатить «сертифицированные СЗИ» используется методика разделения пароля рута, когда половина пароля у сисадмина, половина у безопасника, так что чтобы обойти защиту, им надо сговориться.

no-dashi ★★★★★
()
Ответ на: комментарий от Deleted

возможность отключить учетную запись root, как это сделано в убунте

В убунте root не отключен, в убунте отключена возможность непосредственного входа с паролем рута (sudo -i -> id, какой uid будет?)

no-dashi ★★★★★
()
Ответ на: комментарий от Dred

Любопытно , а можно ли отключить ввод пароля и допускать к руту при условии воткнутого юсб-ключа ? А ключ у специального человека-безопасника

Ты только что изобрел составной пароль, просто половина пароля превратилась в USB-ключ.

no-dashi ★★★★★
()

не помешало бы тэг еще добавить - тупняк

anonymous
()
Ответ на: комментарий от no-dashi

изобрел составной пароль

я просто это так не назвал, меня скорее смутил факт, что тут обсуждают, насколько не секурна ОСь при физическом доступе к машине, но не обсуждают подобного решения

ну или я тупой и чего-то до меня не доходит

Dred ★★★★★
()

с точки зрения требований государства

Есть мнение, что проблема в самом государстве.

tlx ★★★★★
()
Последнее исправление: tlx (всего исправлений: 1)
Ответ на: комментарий от Macil

Ограничиваются. В МСВС мы с мандатным контролем как-то доэкспериментировались до того, что root после этого не смог создать нового пользователя. В Астре механизм, как я понимаю, сильно похож на МСВСовский (хотя бы в силу того, что подстраиваются они под одни и те же нормативные документы). Но к сожалению (лично для меня - к счастью) вопросами тонкой настройки прав доступа у нас занимаются другие люди, так что я здесь не гуру.

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

Астре механизм, как я понимаю, сильно похож на МСВСовский

А что именно за механизм, если не секрет конечно? На основе SELinux или на основе чистого LSM или свои велосипеды?

Macil ★★★★★
()

Дык это давно уже есть. В настроечном режиме рут есть, он там выдает права админам сервисов, потом компьютер перезагружается в боевой режим, и рут уже тупо не может залогиниться. В «больших» юниксах это было уже в 80-х, когда военные начали активно пользоваться.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.