From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: Sun Inventor To: devel-kernel@altlinux.ru Mime-Version: 1.0 X-Mailer: mPOP Web-Mail 2.19 X-Originating-IP: [213.177.121.146] Date: Fri, 25 Mar 2005 19:09:56 +0300 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Message-Id: Subject: [d-kernel] =?koi8-r?b?9dPJzMXOycUgwsXaz9DB087P09TJIA==?= unix =?koi8-r?b?y8zPzs/X?= X-BeenThere: devel-kernel@altlinux.ru X-Mailman-Version: 2.1.5 Precedence: list Reply-To: Sun Inventor , ALT Linux kernel packages development List-Id: ALT Linux kernel packages development List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 25 Mar 2005 16:10:00 -0000 Archived-At: List-Archive: List-Post: hi, Недавно в голову пришла мысль по увеличению безопасности unix клонов. В чем идея заключается: для каждого пользователя создается так называемый надзиратель который будет контролировать его действия. Например: я создаю пользователя sun, с пасом например 123(гг) а системы создает еще и пользователя надзирателя например sun_god, с другим пасом и дает мне(тоесть реальному челу) оба акаунта. Чтобы пользователь sun смог что-то сделать со своими данными на это должно быть разрешение в конфиге, владельцем которого является sun_god. Для rootа все также. Тоесть чтобы чтото сделать с системой нужно знать 2 паса а не один. Даже если взломщик раздобудит пас от sun или от sun_god то ничего сделать он не сможет ибо нужно оба паса сразу. Можно пойти дальше и создать 2, 3, 4, итд пользователей что еще больше увеличит безопасность системы. Уважаемые кернел-хакеры что думаете? Стоит ли вообще с этим заморачиваться. Теперь по поводу реализации, в голову пока пришли тока 3 варианта: 1) сделать надстройку над системными вызовами 2) использовать lsm 3) сделать как модуль для rsbac Если есть какие то пожелания, предложения, ссылки на литратуру\документацию буду очень признателен. p.s. Кому понравилась идея или те кто хочет помочь можно обьедениться под совместным проектом. /si