[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Aprile 2001 ml@sikurezza.org Soggetto: Re: DAC e MAC? Mittente: Fabio Pietrosanti (naif) Data: 24 Apr 2001 10:40:11 -0000
On Tue, Apr 24, 2001 at 09:22:29AM +0200, Kundera wrote:
> At 19.07 23/04/01 +0200, you wrote:
>
> >Cmq come considerazione finale ricordiamoci che i problemi di sicurezza non si
> >risolvono chrootando i processi, in quanto esistono possibilita' di uscire dal
> >chroot in certe condizioni e che da questo diavolo di sistema DAC di unix si
> >spera che verra' messo tutto in MAC e buonanotte, addio root, addio problemi.
>
> Scusa l'ignoranza Naif ma cosa intendi con DAC e MAC? :)
Il DAC sta per discrectionary access controll, ed e' il sistema di controllo
accessi unix cosi' come lo conosciamo con uid, gid, other, attributi
suid/sgid/ rxw e ste robbe qua...
In ambienti militari come cristo comanda, si e' sempre cercato di usare quelli
che vengono definiti "TrustedOS", in pratica sistemi unix che permettono la
definizione di security policy.
Questo e' permesso grazie al sistema di controllo accessi MAC ( Mandatory
Acccess Control ), in cui il concetto di root non esiste, a ogni utente, a
ogni processo, a ogni 'oggetto' viene dato il minor privilegio possibile per
girare, e il fatto che un demone venga compromesso, anche se gira con uid=0,
non compromette il resto della macchina, perche' uid=0 e' un uid come
un'altro.
Gestire un sistema MAC e' sicuramente + complesso di un sistema DAC, ma
diciamo che garantisce un livello di sicurezza molto + alto .
Atto pratico?
Per BSD troveremo il MAC su FreeBSD 5.0, intanto http://www.trustedbsd.org
Per Linux esiste Lomac di nai( si trova su packetstorm) che adesso e'
incorporato nel ben + ampio progetto SEcurity Enanched Linux della NSA
( http://www.nsa.gov/selinux ) .
Io sto valutando proprio in questi giorni PitBull LX della argus-system
( http://www.argus-systems.com ) che e' commerciale, funza per Solaris, AIX,
HP-UX, Linux, ha qualche feature in + delle implementazioni MAC OpenSource e
non si basa sulle RBAC ( Role Based Access Control) ma sulle DBAC ( Domain
Based Access Control ) .
So' che esiste anche TrustedSolaris, venduto direttamente da Sun che fa' + o -
le stesse cose ( http://www.sun.com/security )
All'inizio x capire il mac ci si impazzisce un po' ( come sto facendo io in
questo periodo :p ), ma le sue potenzialita' sono allucinanti!
p.s. con PitBull fu' fatto il contest OpenHack III e non ci fu' alcuna
compromissione con + di 5.000.000 di tentativi, con BSD e SELinux
non appena saranno -stable sicuramente lo faranno :>
>
> <--Kundera-->
> --Digital Skull BBS Sys0p--
> --+39-2-93163367 24h/24h 8N1 Ansi--
kunde', che gente bazzica sulla bbs che io con quello ********* Fastweb
non posso fare chiamate dati che tutta la telefonia e' over ip :\
> --kundera@tiscalinet.it--
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
--
Fabio Pietrosanti ( naif )
LIVE Network Security srl
Via Mascheroni 31
I-20145 Milano
+39.02.485347.1
+39.02.48534729 ( Direct )
+39.02.48534742 ( Fax )
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org
Multiplatform Ultra-secure OS
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005