Nesouhlasim s tim, ze system je mozno zabezpecit pouze do urcite miry. Pokud nebudete mit bugu v kernelu ani v suid programech ani v daemonech poustenych pod rootem, tak mate absolutni bezpecnost.
Ale lide radeji davaji prednost velkemu rychlemu systemu se spoustou featur, ktery neni bezpecny, nez malemu pomalemu bezpecnemu systemu, ktery toho moc neumi.
Vsechna bezpecnosti opatreni nejsou security through obscurity --- security through obscurity je technika, ktera zajistuje "bezpecnost" predpokladem, ze utocnik nema urcite znalosti o systemu, ktery napada. Funguje samozrejme presne do te doby, nez dany system zacnete prodavat verejnosti nebo ho vystavovat na internetu --- pak potrebnou znalost muze ziskat kdokoli.
Pokud chcete problem modulu resit jednoduseji pomoci security through obscurity, muzete proste zmenit cislo syscallu pro zavadeni modulu a programy insmod a modprobe prejmenovat na neco nenapadneho. Stejne jako kryptograficke podepisovani modulu --- to bude spolehlive fungovat pouze do te doby nez se takovy system nestane rozsireny.
Názor k článku
Podepisování jaderných modulů
Mikulas Patocka (neregistrovaný)
27. 9. 2004 19:49
