Vlákno názorů k článku Instalace linuxové distribuce (teoreticky) od rfree - "...není vůbec jednoduché využívat data zapsaná pomocí NTFS....
-
rfree (neregistrovaný)"...není vůbec jednoduché využívat data zapsaná pomocí NTFS. Bezpečnější je asi načítání. Většina distribucí podporu NTFS nabízí jen a pouze v módu jen ke čtení, některé nabízejí i podporu pro zápis. A to může být problém, neboť to není bezpečné."
Zápis na ntfs pomocí ntfs-3g používám už dva roky a funguje spolehlivě.Myslím že dneska už není třeba se bát, bylo to vyzkoušeno na miliardách souborů. -
pht (neregistrovaný)
Jiste. Clovek vznese kritiku a automaticky je za vola.
Nicmene k veci.
- ACL ve windows umoznuje DENY pravidla
- ACL ve windows ma vice rozmelnena prava nez jen rw(x)
- ACL ve windows (od verze 2000) maji mnohem inteligentneji resene dedictvi
- ACL ve windows se vyhodnocuji v inteligentnejsim poradi (napr.: posix striktne uprednostnuje ACL pro uzivatele pred ostatnima, takze pokud mam pro uzivatele r-- a pro skupinu ve ktere je mam rw- tak nasrat)
- ACL ve windows jsou strukturalni a zauzivanou soucasti OS, zatimco posix acl je jen jakejsi patch nad beznou rwxrwxrwx politikou na kterej kouka kazdej krom samby skrz prsty; rad bych videl distribuci ktera ACL pouziva hned po instalaci, jako ze by se to leckde siklo, adresare rwxrws--- jsou fakt trapne; plus posix ACL dela psi kusy jen aby emuloval toto klasicke rwxrwxrwx pro ty aplikace ktere se jeste nevzpamatovaly z doby ledove, coz je silenost
-
majkls (neregistrovaný)>>ACL ve windows se vyhodnocuji v inteligentnejsim poradi (napr.: posix striktne uprednostnuje ACL pro uzivatele pred ostatnima, takze pokud mam pro uzivatele r-- a pro skupinu ve ktere je mam rw- tak nasrat)
takže POSIX ACL umí deny, jen vy je neumíte používat
>>ACL ve windows jsou strukturalni a zauzivanou soucasti OS, zatimco posix acl je jen jakejsi patch nad beznou rwxrwxrwx politikou na kterej kouka kazdej krom samby skrz prsty; rad bych videl distribuci ktera ACL pouziva hned po instalaci
hmm. mno otázka zní... kolik lidí to v defaultu potřebuje. Navíc nevím, jak si představujete strukturální část OS. V defaultu se ACL zase tolik nepoužívá, nicméně posix ho umí. Dědění je fajn, posix acl ho taky umí:
majkls@twister:~$ mkdir testacl
majkls@twister:~$ setfacl -m u:vorner:r-x testacl/
majkls@twister:~$ setfacl -d -m u:vorner:r-x testacl/
majkls@twister:~$ getfacl testacl/
# file: testacl
# owner: majkls
# group: users
user::rwx
user:vorner:r-x
group::r-x
mask::r-x
other::r-x
default:user::rwx
default:user:vorner:r-x
default:group::r-x
default:mask::r-x
default:other::r-x
majkls@twister:~$ cd testacl/
majkls@twister:~/testacl$ ls
majkls@twister:~/testacl$ touch bla
majkls@twister:~/testacl$ getfacl bla
# file: bla
# owner: majkls
# group: users
user::rw-
user:vorner:r-x #effective:r--
group::r-x #effective:r--
mask::r--
other::r--
majkls@twister:~/testacl$
takový věci v linu jako šifrování konkrétního souboru pravda nejsou, je tam pouze šifrování celý partišny, ale to obrečim. pro další funkcionalitu doporučuji nastudovat chattr.
co je ještě za problém? -
anonymníPro jednotlive adresare je vyborne a user friendly encFS.
Mam takto zasifrovana data ruznych programu a kdyz je chci spustit, tak je volam pres scriptik, ktery nejprve zobrazi graficke okno s dotazem na heslo a kdyz se to podari, tak spusti i program nad temi daty.
Napr. posta - kliknu na ikonu TB, vybehne okno, zadam heslo a tim se pripoji pracovni folder TB a jede se. Po ukonceni programu se dir automaticky odpoji.
Nic lepsiho si nedovedu predstavit. Jeden sifrovany soubor se mi vic nez nehodi. Sifrovany cely fs se mi skoro vubec nehodi (ale nekde preci jen ano). Takto muzu mit klidne i prenosny disk s jakymkoliv FS a mit na nem (zamerne) nefifrovana data. Muzi si kdykoliv vytvorit jeden encfs adresar na tom prenosnem disku a mit ho sifrovany (jen ten ktery chci a ne cely fs).
Take pouzivam sifrovane adresare na siti s tim, ze jejich nesifrovanou podobu si pripojim na lokal (tedy ze jen na mem pocitaci jsou ta data citelna a jejich desifrovani se deje az na mem pocitaci, takze behem pouzivani neexistuje riziko, ze by mi data nekdo cetl).
Nadherne to vyresilo vsechny moje potreby ohledne sifrovani a to bez nutnosti sifrovat FS - to byla moje podminka. Ve win sice existuji ruzne programy ruznych spolecnosti (a sly by pouzit i v linuxu), ale to je pro mne neprijatelne reseni, protoze ja to chci mit v jadre a chci aby to bylo open reseni aby se nestalo, ze si zasifruju data, roky na ne nesahnu a pak zjistim, ze firma krachla, nebo se rozhodla pro zmenu sifrovani a nebylo pro ni ekonomicky vyhodne rozumet i staremu formatu.
Zasadni vyhodou je take to, ze se nevytvari zadny file do ktereho by se data schovavala (coz byla dalsi podminka a neveril jsem, ze se mi splni). Jen se zasifruji nazvy adresaru a folderu, takze utocnik nevi co kde je, ale plati, ze sedi pocet folderu i fajlu, jen se jmenuji "jinak" a maji "jiny obsah" (tedy necitelny). Takze fajly a cele adresare je mozno presouvat a zalohovat i kdyz jsou aktualne nerozsifrovana.
Taktez je fajn, ze pro pripojeni muzu pouzit grafickou nadstavbu (a tim se to stava user-friendly) - resim to vlastnim scriptikem, ale existuji na to obecna klikatka, nebo to muzu bez problemu pouzit i vzdalene z prikazove radky (coz je krajne dulezita podminka aby to bylo obecne pouzitelne).
Proste parada nejvetsi! -
pht (neregistrovaný)
takže POSIX ACL umí deny, jen vy je neumíte používat
Najdete si a prectete si co umi DENY ACL, tohle je vykrik do tmy.
kolik lidí to v defaultu potřebuje
Potrebuje to kazdy koho zajima bezpecnost. Pokud chcete aby skupina procesu/uzivatelu v adresari soubory zapisovala, a jina cetla, tak to budete sidit pres prava pro cely svet, pres setgid adresare nebo nejak jinak. A to je jen zacatek.
V defaultu se ACL zase tolik nepoužívá
Kouknete se nekdy na defaulty na adresari Program Files ve windows 2000/xp.
Dědění je fajn, posix acl ho taky umí
Najdete si a prectete si jak se chova dedeni v win2000. To, ze se zkopiruji ACL na cerstvy soubor neni dedeni.
pro další funkcionalitu doporučuji nastudovat chattr
Nevim jakou funkcionalitu mate na mysli. Chattr je zavisle na ext2/3, zatimco posix acl jsou univerzalni. Navic jediny atribut ktery jsem kdy pouzil je +i.
co je ještě za problém?
Problem je v tom, ze ja porovnavam veci na zaklade dukladne znalosti obou systemu, zatimco vy znate maximalne posix a na zaklade toho si myslite, ze umite i windows.
-
majkls (neregistrovaný)>>Najdete si a prectete si jak se chova dedeni v win2000. To, ze se zkopiruji ACL na cerstvy soubor neni dedeni.
to se mi nechce :) Ale byl bych rád, kdybyste to rozvedl. Zajímá mě to totiž.
A stále nechápu ten obrovský význam deny acl. To byste mohl taky vysvětlit.
Je pravda, že moje znalost windows je značně povrchní -
majkls (neregistrovaný)takže četl jsem o NTFS DENY ACL a o posix ACL a říkám, že POSIX deny ACL nepotřebuje, protože ho umí z principu věci (tedy tak, že se přidá uživatel nebo skupina s příslušně omezenými právy). NTFS deny ACL je explicitní odepření přístupu, tedy přesně to, co umějí běžně unixová práva. Viz tady: http://www.suse.de/~agruen/acl/linux-acls/online/ jasně říká, co kdy a jak. Takže si laskavě doplňte své znalosti (když jste tak zběhlý v linuxu), abychom měli jasno. A pokud vezmu poslední instanci (zdrojáky)
http://lxr.linux.no/linux/fs/namei.c#L183
Myslím, že není o čem diskutovat. -
Potrebuje to kazdy koho zajima bezpecnost.
Na normalnim desktopu v domacnosti je to v podstate k nicemu, protoze tu mate jenom tri typy prav -- vase soukrome soubory, systemove soubory a sdilene adresare. Ve firmach a na serverech to samozrejme opodstatneni ma, ale vetsinou i tam staci UGO rwx model, proste odstupnujete opravneni pomoci ruznych skupin. ACL se hodi, at uz se bavime o tech pro NTFS nebo o POSIX standardu, ale da se to osidit i jinak. -
hx (neregistrovaný)Obavam se, ze klasicky model v unixu/linuxu je nic moc - v tom ma Vas oponent pravdu a bohuzel s nim musim souhlasit. A ani bych nevidel velky rozdil mezi serverem a desktopem (na jednom chranim data zakazniku a na druhem zase svoje). Posix ACL to sice trochu resi, ale neni to standard.
Nejvetsi problemem jsou SUID, SGID, superuzivatel root a podobne debility, ktere linux zdedil. SELinux je sice (lepsi) reseni, ale bohuzel trochu narocne na spravu (na rozdil od ACL). -
Mne prijde ten klasicky model pro vetsinu situaci dostatecny, ale jednak je to vec nazoru a taky nespravuji zadne velke site.
SUID nebo SGID snad nikdo rozumny nenastavuje u cehokoliv krome su, xserveru a podobnych nutnosti.
Co mate proti rootovi? To je dalsi vec, ktera mi na Windows vadi -- ani jako admin nemate plnou moc nad systemem. Jako root muzete uplne vsechno, coz je velika vyhoda. Musite byt samozrejme zodpovedny, s tim to cele stoji a pada, ale to nevadi. -
pht (neregistrovaný)Protoze pak xserver nebo su ma teoreticky pravo prepsat cokoliv na disku, zatimco pokud mezi cernou a bilou date nejake urovne sedi tak nemusite resit syndrom "udelej vsechno nutne co nejrychleji a pak radeji zahod prava".
Ze windows upiraji i administratorovi absolutni moc mne take vadi, ale tim spise, ze na linuxu ji mate, byste ji mel setrit. -
Ondrej \'SanTiago\' Zajicek (neregistrovaný)> Protoze pak xserver nebo su ma teoreticky pravo prepsat cokoliv na disku
Pokud nekdo ma opravneni programovat registry graficke karty, pak proste realne ma moznost prepsat v RAM cokoliv (pomoci DMA transferu - nehlede na to, ze k framebufferu casto pristupuje pomoci mmap /dev/mem) a ziskat tak jakakoliv opravneni. Tedy pro to, co xserver dela, proste maximalni opravneni potrebuje. -
hx (neregistrovaný)Problem je v tom, ze klasicky model (DAC) nedovoluje jemne nastaveni prav. Bud je superuzivatel root, ktery muze uplne vsechno nebo standardni uzivatel, ktery zase toho moc neumi. Z tohoto duvodu musely byt zavedeny obezlicky typu SUID a SGID, aby se slo napriklad prihlasit vzdalene pres SSH nebo zalogovat do systemu, Xserver, apod. Z hlediska bezpecnosti se razi zasada, ze proces (subjekt) by mel mit jen minimalni prava na to co je potreba udelat. Chyba v programech totiz muze vest k kompromitaci celeho systemu (v minulosti treba hodne proflakly Sendmail).
Napr. proc jenom root muze mit pristup na porty < 1024? V minulosti se pokouselo zavest capabilities - takze napr. nemusim byt root, abych se mohl nabindovat na port < 1024, ale ty se moc nepouzivaly a implementace nebyla uplne funkcni a komplexni (s novym kernelem by to melo byt zase o trochu lepsi).
Proto je snahou uzpusobit standardni model tak, aby slo vytvaret role a moznost jemneho nastaveni prav (jak k pristupu na FS, tak i k ostatnim objektum/subjektum (sockety, pipes, apod.), tak aby se slo vyhnout SUID, SGID a dalsim akcim, ktere muze jenom root (tim se nemysli sudo). To resi projekty typu SELinux, Grsecurity, Appamor, apod. -
Ondrej 'SanTiago' Zajicek (neregistrovaný)> Z tohoto duvodu musely byt zavedeny obezlicky typu SUID a SGID
No to prilis s jemnou granularitou nesouvisi. Kdyz budou jemne capabilities, tak pro jejich vyuziti potrebujes neco, co je procesu prideli. Bud se mu pomoci SUID prideli maximalni opravneni, a on se ostatnich ihned vzda, nebo se zavedou bity S_capability_1, S_capability_2 ... (tedy jemnejsi obdoba SUID bity). -
pht (neregistrovaný)Je to tak. Pokud bychom zajeli hloubeji pod nazor "na normalnim desktopu v domacnosti je to v podstate k nicemu" tak uz muzeme jet kompletne pod rootem. Krom windows xp to treba take dela projekt OPIE. Na otazku proc dostanete odpoved ze PDA je jednouzivatelske zarizeni, tecka.
SUID prilis nesouvisi s pravy filesystemu, je to spise komplementarni vlastnost - jako root si muzete nabindovat porty a delat jinak nebezpecne operace. Ale souhlasim, ze SUID (na roota) je prilis hruby nastroj, protoze dava vsechna prava, zatimco proces obvykle potrebuje jen nekolik. Mel by to resit patch pro filesystem caps (viz http://lkml.org/lkml/2008/5/12/298). -
Jet vse pod rootem je kravina, to je jasne. ACL na domacim pocitaci jsou trochu luxus, to je IMHO sice taky jasne, ale trochu to rozvedu:
Kdyz spustite virus (skript, co smaze dostupna data), tak bez ACL vam to smaze domaci adresar a adresare sdilene. S ACL to udela uplne to same. Kdyz ho spusti vas spolubydlici, tak to v obou pripadech udela zase to same s tim rozdilem, ze to nesmaze adresare vam ale jemu.
Nic se nezmeni, protoze se da predpokladat ze jsou, jak jsem uz psal, jen tri typy souboru -- systemove, vase a vsech. -
hx (neregistrovaný)To je sice pravda (ze to je komplementarni), ale ono vsechno souvisi tak trochu se vsim :-). Kazdopadne me to nedalo to zkritizovat, protoze klasicky DAC model (jak FS prava, tak SUID, apod.) je opravdu (zastarala) zvrhlost.
MAC je reseni - at uz (radne) capabilities nebo RBAC/TE, apod. Jen je trochu problem co je/bude standard. -
majkls (neregistrovaný)Třeba ext3 už umí acl pěkně dlouho (od verze 2.6), nicméně bylo to asi později než u NTFS. Zase na druhou stranu NTFS nemá x-bit (opravte mě, pokud se pletu), takže se tam dá spustit cokoli, co má příponu exe. Chtít po driverech pro NTFS pod linuxem, aby to umělo acl je trochu moc. Zkuste něco dělat reverzem.... To není vůbec legrace.
-
anonymníCokoliv spustit nemuzes, jenom to co ma specialni priponu. Jinak se da nastavit atribut fajlu jako nebezpecny a pred jeho pustenim se te to zepta ... typicky jsou tak veci ze site a stazene z netu. Jinak o tom reverzu, MS podle nejakeho narizeni musi zverejnovat takove specifikace uz hooodne dlouho. Sice ne siroke verejnosti, ale kdyz firma splni spousty bezpecnostnich pravidel, tak jim daji zdrojaky .... je to sice ujete narizeni, ale je to tak
-
co na to rict (neregistrovaný)To je ale krasny priklad vyhod open source. Pokud podepisete, ze po precteni specifikace budete pracovat uz jen pro nekomercni organizace anebo platit mesicen ballmerovi cistirnu pocintanejch kalhot, mrkvosoft vam specifikace ntfs milostive promitne na oblohu v predem neurcenou hodinu ale zato alespon na 3 mikrosekundy. Mate v hlave neco jineho mez usni maz ?
-
majkls (neregistrovaný)psal jsem cokoli s příponou exe. Pokud chceš být puntičkář, ano těch přípon je víc. Ale o to neběží. Jde prostě o to, že to, jestli je soubor spustitelný je již určeno. A to je podle mého názoru (z bezpečnostních důvodů) špatně. Prostě uživatel si má sám určit, jestli ten soubor míní spouštět. Protože na ostatní mu stačí r/w práva.
Otázka je, čemu říkáš "spousty bezpečnostních pravidel". -
pht (neregistrovaný)Ve windows samozrejme pravo execute je. Dokonce tam lze rict, ze se nesmi poustet soubory z flashky (v linuxu mount volba noexec), z profilu uzivatele a tak dale. Pripona se pouziva jen pro zjisteni jestli se to po kliknuti ma spustit nebo otevrit v programu (podobne to dela i konqueror a linux sam o sobe pouziva shebang pro skripty - kdyby kazdej jpeg zacinal na #!/usr/bin/display, tak byste ho mohl "spustit")
Nicmene si myslim ze je to +x celkem fuk, bezpecnosti to neprida, protoze si muzu vzdycky poustet aspon skripty, a navic ani jeden OS neni tak blbej aby "spustil" textovej soubor nebo obrazek jen proto ze ma +x ... -
prozrely (neregistrovaný)re: /bin/sh /tmp/mail-loxovi-blabla.sh
Tak to je mimoradne hluboka myslenka !
Nebo taky by slo treba prepsat prvni sektory nejakeho spustitelneho souboru
Nebo nejdrive preinstalovat Linux woknama a pak by tam dokonce sly spoustet i vbs soubory!
Z toho jasne vyplyva, ze linux je mnohem nebezpecnejsi nez Windows, potoze na nem po preinstalaci jdou spoustet i windowsovske scripty a tam (jak kazdy debil vi) zadne x atributy u souboru nejsou!
Podnetny vecer, dekuji
