forum.opennet.ru

Составление сообщения

Исходное сообщение

"Удалённая уязимость в ядре NetBSD, эксплуатируемая из локаль..."
Отправлено Аноним, 16-Окт-20 18:25

Да, DAC это именно Дискретный Контроль Доступа. Минимальная дискретность раздачи прав - пользователь.
Да драйвера файловой системы и сама OS реализует DAC через установку прав на файлы RWX.
Но, ядро OS может и безопасное ядро OS должно, устанавливать права RWX и на страници оперативной памяти. W^X это DAC но реализован для страниц оперативной памяти.
Ядро безопасной OS должно разделять процессы по пользователям которые их запустили. Вася не должен видеть процессы Вовы. В Linux это делает yama или патчи grsecurity. И это тоже DAC по пользователям просто объектами есть процессы в оперативке, а не файлы на диске.
Когда я говорю создавать разные разделы /, /home, /tmp, /var и строго соблюдать принцип DAC: W^X то имею ввиду опции монтирования:
/ exec,ro
/home noexec,rw
/tmp noexec,rw
/var noexec,rw

Исходное сообщение
"Удалённая уязимость в ядре NetBSD, эксплуатируемая из локаль..." Отправлено Аноним, 16-Окт-20 18:25
Да, DAC это именно Дискретный Контроль Доступа. Минимальная дискретность раздачи прав - пользователь. Да драйвера файловой системы и сама OS реализует DAC через установку прав на файлы RWX. Но, ядро OS может и безопасное ядро OS должно, устанавливать права RWX и на страници оперативной памяти. W^X это DAC но реализован для страниц оперативной памяти. Ядро безопасной OS должно разделять процессы по пользователям которые их запустили. Вася не должен видеть процессы Вовы. В Linux это делает yama или патчи grsecurity. И это тоже DAC по пользователям просто объектами есть процессы в оперативке, а не файлы на диске. Когда я говорю создавать разные разделы /, /home, /tmp, /var и строго соблюдать принцип DAC: W^X то имею ввиду опции монтирования: / exec,ro /home noexec,rw /tmp noexec,rw /var noexec,rw

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Да, DAC это именно Дискретный Контроль Доступа. Минимальная дискретность раздачи прав - > пользователь. > Да драйвера файловой системы и сама OS реализует DAC через установку прав > на файлы RWX. > Но, ядро OS может и безопасное ядро OS должно, устанавливать права RWX > и на страници оперативной памяти. W^X это DAC но реализован для > страниц оперативной памяти. > Ядро безопасной OS должно разделять процессы по пользователям которые их запустили. Вася > не должен видеть процессы Вовы. В Linux это делает yama или > патчи grsecurity. И это тоже DAC по пользователям просто объектами есть > процессы в оперативке, а не файлы на диске. > Когда я говорю создавать разные разделы /, /home, /tmp, /var и строго > соблюдать принцип DAC: W^X то имею ввиду опции монтирования: > / exec,ro > /home noexec,rw > /tmp noexec,rw > /var noexec,rw
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру