Co se tyce zneuzi LIDS crackerem, nelze to vyloucit, ale nedovedu si takoveho crackera dost dobre predstavit. Konfigurace LIDS je pomerne casove narocna (predevsim pro LIDS novacka). Pripadny cracker by musel s nejvetsi pravdepodobnosti mit k dispozici rootovska privilegia navic natahnout na firewall potrebny software - kernel, LIDS, systemove knihovny, prekladace, vyvojove prostredi, provadet nepozorovany reboot firewallu atd. Ten clovek by musel mit hodne casu si s tim pohrat. Doporucuji, aby jste si to zkusili.
Pokud by to vsak cracker podstoupil a zlikvidoval i puvodni jadro, pak by to na chvili pro administratora bylo opravdu zajimave prekvapeni.
Jednodussi je snad vsak pouze zmenit heslo uzivatele root a vysledek by byl podobny.
Tim zde rovnez sdeluji jednu z nevyhod softwarove zaplaty LIDS - casovou narocnost konfigurace. Vyhody a nevyhody LIDS rozeberu v zaveru serialu.
Reakce na e-maily typu LIDS je zvrhlost, podoba se to MS Windows apod:
Vsemocnost administratora v unixovych systemem a obecne v operacnich systemech je dlouhodoby bezpecnostni problem. Ponevadz, pokud nekdo ziska pravomoce administratora, je v OS pan Buh. Proto byly provadeny snahy rozdelit spravu systemu do oblasti, ktere by mohly byt spravovany ruznymi privilegovanymi uzivateli. Tyto snahy mely vest v unixovem svete ke standardu POSIX 1003.1e. Bohuzel k tomu nedoslo, byl vytvoren pouze draft. Nicmene linuxove jadro je navrzene tak, ze s rozdelenim kompetenci pocita!! Projekt LIDS tuto vlastnost castecne vyuziva. Je to tedy zvrhlost?!
Zakladnim problemem LIDS (a dalsich patchu jako GRSECURITY) je jejich nepritomnost ve standardnim jadre. Jejich instalaci se sice nektere bezpecnostni problemy vyresi, ale diky problematickym upgradum (muze byt potreba cekat, nez vyjde patch na novou verzi jadra, ktera treba opravuje nejakou bezpecnostni chybu) se zase nove problemy zavlecou. To je take duvod, proc jsem zatim nic podobneho nikde nepouzil.
Muj subjektivni dojem je, ze vyvojari jadra jsou dost zahledeni do sebe, takze projdou veci, ktere se hodi takrka vyhradne jim (User Mode Linux), ale security rozsireni narozdil od spravcu serveru nepotrebuji a proto zatim nebylo integrovano :-(
(Tedy co vim, oficialnim argumentem je, ze zapnuti patche muze zpusobit nefunkcnost mnoha veci - ale kdyz bude defaultne vypnute, tak to preci nemusi vadit...)
ČLÁNKY DO MAILU