Re: DAC e MAC?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2001 ml@sikurezza.org
Soggetto: Re: DAC e MAC?
Mittente: Saverio Salatino
Data: 24 Apr 2001 16:27:15 -0000


----- Original Message -----
From: "Fabio Pietrosanti (naif)" <naif@lns.it>
Sent: Tuesday, April 24, 2001 10:51 AM

[...]
> > Scusa l'ignoranza Naif ma cosa intendi con DAC e MAC? :)
[...]
> In ambienti militari come cristo comanda, si e' sempre cercato di usare
quelli
> che vengono definiti "TrustedOS", in pratica sistemi unix che permettono
la
> definizione di security policy.
> Questo e' permesso grazie al sistema di controllo accessi MAC ( Mandatory
> Acccess Control ), in cui il concetto di root non esiste, a ogni utente, a
> ogni processo, a ogni 'oggetto' viene dato il minor privilegio possibile
per
> girare, e il fatto che un demone venga compromesso, anche se gira con
uid=0,
> non compromette il resto della macchina, perche' uid=0 e' un uid come
> un'altro.

La cosa sembra molto interessante, giusto per capirci un po' di piu' volevo
chiederti se e' possibile paragonare questo modello di gestione con quello
usato in qmail e djbdns (al momento non mi vengono altri esempi in mente);
ovviamente intendo a livello di idee, giacche' mi sembra ovvio che uno (il
MAC) e' un modello generico mentre gli altri sono dei 'semplici' software
programmati in maniera particolare.

>
> Gestire un sistema MAC e' sicuramente + complesso di un sistema DAC, ma
> diciamo che garantisce un livello di sicurezza molto + alto .

immagino, ma possibile che non esista un superutente (con tutta sincerita'
non riesco ad immaginare un OS senza un utente privilegiato ^^) che
controlli tutto? allora come e' possibile installare,configurare e
manutenere l'OS?

[...]
> Per BSD troveremo il MAC su FreeBSD 5.0, intanto http://www.trustedbsd.org

<OT>
e' possibile reperire da qualche parte delle ISO degli snapshot di FreeBSD
5.0 ?
</OT>

> Per Linux esiste Lomac di nai( si trova su packetstorm) che adesso e'
> incorporato nel ben + ampio progetto SEcurity Enanched Linux della NSA
> ( http://www.nsa.gov/selinux ) .

avevo intenzione di dargli una occhiata, ma poi non l'ho provato 'dal vivo'
... Aspettavo prima di leggere qualche giudizio sulla 'bonta'' del codice;
qualcuno ha avuto modo di esaminarlo?

[...]
> All'inizio x capire il mac ci si impazzisce un po' ( come sto facendo io
in
> questo periodo :p ), ma le sue potenzialita' sono allucinanti!

Buon lavoro ;)

Saverio Salatino
---
Rinnovo l'invito ad organizzare per i residenti a Milano un incontro tra i
partecipanti della ml (appena avro' tempo postero' una mail su
progetto@sikurezza.org dove questo argomento credo sia maggiormente IT


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: servizi chrootati, Saverio Salatino
- successivo: Re: servizi chrootati, Giorgio Zoppi
- indice

Argomento:
- precedente: Re: DAC e MAC?, Fabio Pietrosanti (naif)
- successivo: Re: DAC e MAC?, Fabio Pietrosanti (naif)
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005