W32/MyDoom-A/BRe: Lista-kerdes
SZIGETI Szabolcs
szigi at ik.bme.hu
Fri Jan 30 12:48:12 CET 2004
> A gondok ott kezdődnek, hogy ez a legtöbb windows rendszeren ugye
> defaultból rendszeradminisztrátori jogokat is jelent, mivel ezek a
> jogosultsági szintek nincsenek szétválasztva rendesen. (Vagy sehogy
> sincsenek:-DDD)
Hali!
Ne legyen a dologbol hitvita, de a Windows (marmint az NT, 2K, XP) vonulat
biztonsagi modellje sokkal fejletteb a Unixenal.
A Unix egyik legnagyobb baja, hogy a, van root es van mindenki mas.
barmilyen feladathoz root jogokkal kell rendelkezned, a legtobb Unix bizt
problema abbol adodott. A rootkent futo process-t valamit kihasznalva konnyu
ravenni, hogy felulirjon, atirjon, elolvasson. (erre vannak presze
barkacsmegoldasok, meg sudo, meg minden). A modern tudomany a mindent-vagy
semmit biztonsagi szintekjet eleg elavultnak tekinti.
A fajlrendszer tulaj/csoport/mindenki modellje sem egy rugalmas dolog, foleg
halozati alkalmazasoknal eleg sok fejfajat tud okozni. (Minek ahhoz root
jog, hogy az apache megnyissa a 80-as portot. Nem szebb lenne, ha a httpd
processnek engedelyezve lenne megfelelo kepssegek beallitasa altal, hogy
1024 alatti portokat nyisson? Aztan ha valami gebasz van vele, akkor megsem
rootkent garazdalkodik. (Tudom, hogy van setuid, meg setreuid, meg seteuid,
meg minden, de ezekkel is lehet hibazni).
A windows ezzel szemben rendelkezik ACL-ekkel (hozzaferesi listak) a
fajlokra, es igazabol minden rendszerobjektumra. Rendelkezik a "kepessegeg"
fogalmaval (o privileges"-nek hivja), es rendelkezik a kotelezo hozzaferesi
jogosultsagokkal.
Hogy ezek jo dolgok, az azt mutaja, hogy az (elabortalt) Posix 1003.1e es
1003.2c szabvanytervezet alapjan a Unix gyartok is kezdik ezeket
impelementalni, a legtobb uj Unix mar tud ACL-t, MAC-et, es a capabilities
is fejlodik.
Amivel problema van, az az, hogy a Windowsnak hiaba van egy igen jol
atgondolt biztonsagi architekturaja, a default beallitas az a csupa lyuk.
Minden irhato mindenki altal, mindenki telepithet mindenhova. Es ez a baj.
Egeszen bonyolult rendszernek is el lehet szurni a belallitasait, es egeszen
egszeru eszkozokkel is lehet biztonsagos megoldast csinalni, atgondolt
tervezessel.
Szabolcs
More information about the Elektro
mailing list