kyrsjo Skrevet 20. april 2004 Del Skrevet 20. april 2004 Har 2 spørsmål jeg har lurt en stund på omkring datasikkerhet: 1. ASM. Hvordan hindrer et OS at du som programerer gjør slemme oppkall til HW? For OS'et kjører da ikke 100% paralellt med apps (kun et program kan jo dele CPU om gangen?) 2. SUID. Hvorfor kan ikke en bruker bare ta med seg si en cd, eller en diskett, eller en tar-fil med si en statisk kompilert versjon av bash satt SUID med permissions 777, og vips bli root? Eller kan brukeren dette Lenke til kommentar
xeon Skrevet 20. april 2004 Del Skrevet 20. april 2004 når det gjelder #2: Brukeren kan godt gjøre det hvis du har tillat det gjennom mount-paramterenee i fstab.. sannsynligvis står det nosuid eller noe der og derfor blir aldri cd'en mountet med suid på noen filer.. Og om permissions til den bash-filen er 777 eller 755 spiller liten rolle.. Den eneste som får lov til å sette suid-bitten eller hva det er for noe er root chmod +s <fil> (usikekr på tallet) Lenke til kommentar
kattemat Skrevet 20. april 2004 Del Skrevet 20. april 2004 1. Er vel det en bruker GDT/LDT registerene i x86 protected mode til. De setter "rettighetene" på minneommrådet. Ellers kan en gjøre direkte hardwareaccess i Linux - det er vel ikke så veldig pent . Sjekk inb/outb familien av systemkall. Dette krever dog UID=0. I MS-DOS dager fantes det jo ingen kontroll på dette - her kunne hvemsomhelst direkte akkessere hardwaren. MS-DOS kjørte jo i real-mode og hadde ingen sikkerhet på brukernivå heller. 2. Er vel bare root som bør få mounte? Om en har automount så bør en kanskje sette nosuit opsjonen på flyttbare media... Lenke til kommentar
kyrsjo Skrevet 21. april 2004 Forfatter Del Skrevet 21. april 2004 Tror brukerene hadde blitt "litt" sure hvis jeg hadde nektet dem tilgang til diskettstasjonene og cdromene... skal sette opp nosuid når vi ruller ut FC2 i løpet av mai. Vet at dette gjaldt msdos. Det var jo derfor du kunne sparke dos ut av minnet og starte Linux... Men har f.eks. en 386 GDT/LDT? De var jo stort sett laget for DOS/Win 3.x... Om direkte HW-access: er ikke dette et "krav" for hard-real-time løsninger? Lenke til kommentar
kattemat Skrevet 21. april 2004 Del Skrevet 21. april 2004 For diskettstasjon kan du jo bruke mtools... uansett så trenger en vel ikke gi brukere ett til å mounte - det beste er vel en automount daemon. Er ikke sikker på om GDT/LDT er det du er ute etter... Men GDT/LDT brukes bare i protected mode. Det var ikke laget for real mode(feks. MSDOS) da brukes disse registrene for minneaddressering om jeg ikke husker feil. Men en bør nok ta mine CPU kunnskaper med en klype salt da det er en stund siden jeg har hatt noe med det å gjøre Lenke til kommentar
gspr Skrevet 21. april 2004 Del Skrevet 21. april 2004 Har 2 spørsmål jeg har lurt en stund på omkring datasikkerhet: 1. ASM. Hvordan hindrer et OS at du som programerer gjør slemme oppkall til HW? For OS'et kjører da ikke 100% paralellt med apps (kun et program kan jo dele CPU om gangen?) 2. SUID. Hvorfor kan ikke en bruker bare ta med seg si en cd, eller en diskett, eller en tar-fil med si en statisk kompilert versjon av bash satt SUID med permissions 777, og vips bli root? Eller kan brukeren dette Oppkallene gjøres via kernelen, og der ligger det restriksjoner som gjør at de fleste slike direkte-hardware-oppkall (spesielt til disker og lignende) kun kan utføres av root. Lenke til kommentar
kyrsjo Skrevet 21. april 2004 Forfatter Del Skrevet 21. april 2004 OK. Derfor vodoo-driverene bare funket som root altså (stod det i dokumentasjonen i alle fall. Men de funket ikke uansett og nå har jeg et gForce 2 MX PCI SÅH!)... mtools blir vel lite aktuellt - det er snakk om elevpc'r ved en skole... Lenke til kommentar
kattemat Skrevet 21. april 2004 Del Skrevet 21. april 2004 (endret) mtools blir vel lite aktuellt - det er snakk om elevpc'r ved en skole... Da bør det vel være enda mere interessant? De aller fleste bruker vel FAT formaterte disketter? Endret 21. april 2004 av kattemat Lenke til kommentar
kyrsjo Skrevet 21. april 2004 Forfatter Del Skrevet 21. april 2004 kan en gjennomsnittselev bruke doskomandoer med m foran i et Linux-shell? Lenke til kommentar
kattemat Skrevet 21. april 2004 Del Skrevet 21. april 2004 Tja... jeg er ganske sikker på at en gjennomsnittelev kan lære det... men det er jo ikke poenget - det finnes GUI front-ends for mtools... Lenke til kommentar
laaknor Skrevet 22. april 2004 Del Skrevet 22. april 2004 kan en gjennomsnittselev bruke doskomandoer med m foran i et Linux-shell? Husker ikke når det var, men i hvertfall så ligger det noe info om det på skolelinux sine mailinglister for hvordan man setter det opp..... Lenke til kommentar
kyrsjo Skrevet 22. april 2004 Forfatter Del Skrevet 22. april 2004 Poenget er at vi må "erobre" brukere fra Windows, og alle er automatisk utstyrt med windows-konto... Men det går bra, satte opp et tynnklientrom som var ferdig (minus noe pynting som legging av nettverkskabel i skjulerør) i går. Under en test i dag var skolens overordnede dataansvarlig så imponert at han sa at f.o.m. neste år kommer alle automatisk til å bli utstyrt med bruker/passord. Vi har bygget det på en "hjemmebygget" XP 2800 med 1 GB RAM. Med 6 klienter (flere kommer) pluss en kompilering av 2.6 kernel var ytelsen definitivt bra. Lenke til kommentar
Egil.B Skrevet 22. april 2004 Del Skrevet 22. april 2004 Patcher du kernelen med http://supermount-ng.sf.net/ har du en finfin løsning på dette med automounting av cdromene. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå