Re: DAC e MAC?

On Tue, Apr 24, 2001 at 05:05:41PM +0200, Saverio Salatino wrote:
> 
> ----- Original Message -----
> From: "Fabio Pietrosanti (naif)" <naif@lns.it>
> Sent: Tuesday, April 24, 2001 10:51 AM
> 
> [...]
> > > Scusa l'ignoranza Naif ma cosa intendi con DAC e MAC? :)
> [...]
> > In ambienti militari come cristo comanda, si e' sempre cercato di usare
> quelli
> > che vengono definiti "TrustedOS", in pratica sistemi unix che permettono
> la
> > definizione di security policy.
> > Questo e' permesso grazie al sistema di controllo accessi MAC ( Mandatory
> > Acccess Control ), in cui il concetto di root non esiste, a ogni utente, a
> > ogni processo, a ogni 'oggetto' viene dato il minor privilegio possibile
> per
> > girare, e il fatto che un demone venga compromesso, anche se gira con
> uid=0,
> > non compromette il resto della macchina, perche' uid=0 e' un uid come
> > un'altro.
> 
> La cosa sembra molto interessante, giusto per capirci un po' di piu' volevo
> chiederti se e' possibile paragonare questo modello di gestione con quello
> usato in qmail e djbdns (al momento non mi vengono altri esempi in mente);
> ovviamente intendo a livello di idee, giacche' mi sembra ovvio che uno (il
> MAC) e' un modello generico mentre gli altri sono dei 'semplici' software
> programmati in maniera particolare.
Non saprei risponderti veramente... in che senso intendi?
> 
> >
> > Gestire un sistema MAC e' sicuramente + complesso di un sistema DAC, ma
> > diciamo che garantisce un livello di sicurezza molto + alto .
> 
> immagino, ma possibile che non esista un superutente (con tutta sincerita'
> non riesco ad immaginare un OS senza un utente privilegiato ^^) che
> controlli tutto? allora come e' possibile installare,configurare e
> manutenere l'OS?
Enno, ci sono figure diverse, c'e' un Security Officier che decide chi puo'
fare cosa impostando le varie regole, e si possono delegare funzioni ben +
ristrette al system manager, o ai system manager, figure che comunque saranno
sempre in domini o rules differenti da quelle con cui gireranno i vari
daemon... cmq non ho l'esperienza necessaria per esprimermi nel modo giusto...

> 
> [...]
> > Per BSD troveremo il MAC su FreeBSD 5.0, intanto http://www.trustedbsd.org
> <OT>
> e' possibile reperire da qualche parte delle ISO degli snapshot di FreeBSD
> 5.0 ?
> </OT>
No idea, la storia dell'integrazione di FreeBSD 5.0 l'ho letta su slashdot di
qualche settimana fa'.
Cmq per ora puoi scaricare patch varie e utils su:
http://www.trustedbsd.org/downloads
> 
[...]
> > All'inizio x capire il mac ci si impazzisce un po' ( come sto facendo io
> in
> > questo periodo :p ), ma le sue potenzialita' sono allucinanti!
> 
> Buon lavoro ;)
Grazie, sara' una spremuta di sangue!
> 
> Saverio Salatino
> ---
> Rinnovo l'invito ad organizzare per i residenti a Milano un incontro tra i
> partecipanti della ml (appena avro' tempo postero' una mail su
> progetto@sikurezza.org dove questo argomento credo sia maggiormente IT
Figo, figo figo!!! un sano posto dove mangiare, bere, fumare e discutere di
tutto di + :>
> _____________________________________________________________________________________
> http://www.sikurezza.org/~koba/salumeria - Italian Prosciutti e Formaggi Mailing List

-- 
Fabio Pietrosanti ( naif )
LIVE Network Security srl
Via Mascheroni 31
I-20145 Milano
+39.02.485347.1
+39.02.48534729 ( Direct )
+39.02.48534742 ( Fax )
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org
Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List