[Sarlug]Азбука сетевой безопасности
Евгений В. Хорохорин
horohorinev at mail.ru
Fri Mar 7 00:36:12 MSK 2003
Приветствую!
Вот наткнулся тут на доку по безопасности, кусок из который привожу ниже:
======== cut =========
Unix создавался по образу абсолютной монархии с формальными признаками
демократии. Простые подданные системы (юзеры) имеют достаточно мало
полномочий для того, чтобы нанести какой-либо реальный вред. Политические
партии (группы) подданных имеют несколько больше прав и полномочий и у
неискушенного туриста может создаться впечатление, что именно они и
руковолят системой. Однако, на практике, все реальные и серьезные решения
принимает абсолютный монарх, мистер Чарли Рут (Mr. Charlie Root). Только
ему доступны все комнаты дворца, королевская печать, государственные
архивы и королевская казна. Все подданные и вся жиззнь королевства
подвластны ему, он волен заходить в любой дом, читать все документы и
может по своему усмотрению убить или помиловать любого подданного или плод
его деятельности - процесс (особенно это неприятно, когда подданный,
решив, что процесс пошел, успокаивается и идет спать).
Однако, видимо опасаясь государственного переворота, мистер Рут тщательно
скрывается от своих подданных. Для того, чтобы воспользоваться своими
полномочиями ему требуется предъявить министру внутренних дел господину
/etc/passwd свой паспорт для проверки. В паспорте содержится некое
секретное слово (и в условном месте, известном господину министру,
припрятано две крупинки соли). Если все нормально, предъявитель паспорта
получает знак монархической власти (uid 0). К сожалению, оказалось, что
при современном развитии печатного дела паспорт можно подделать. Взломщики
выдумали немало способов подглядывать за секретной процедурой показа
паспорта. В принципе, это похоже на кражу номеров кредитных телефонных
карточек - в американских аэропортах пасутся специальные прохожие,
невзначай подсматривающие за набором номера на телефоне. Призом для них
является право на бесплатный (за счет клиента) звонок любимой тетушке на
Бермуды. Призом же для удачливого вора, подделавшего пароль, является
полный контроль над могущественной империей Unix.
Так как его Рутовское Величество часто занят делами и его трудно найти,
для вершения государственных дел у него есть штат доверенных лиц.
Исполняющий обязанности в Unix называюется Сюид (SUID), а исполняющий
обязанности Монарха называется Сюид Рут (SUID root). Обычно Сюид Рут имеет
весьма ограниченный круг обязанностей и не представляет серьезной
опасности для безопасности. Однако некоторые недостойные умудряются
использовать выданный им для отправления обязанностей монархический знак
(uid 0) для непредусмотренных действий и могут, в принципе,
воспользоваться им для полного захвата власти в стране. Особенно опасны
Сюид Рут, имеющие доступ к акциям местных нефтяных компании системы Shell.
Сюид, получивший контроль над Shell, по-сути неотличим от реального
монарха. Поэтому господа Сюид являются лакомой добычий для воров и
международных шпионов, под видом гостей проникающих в страну.
Для наблюдения за делами в королевстве и исполнения хозяйственных дел
господин Чарли Рут обычно нанимает бригаду демонов, которые от его имени
незаметно вершат свои демонические дела. Именно им мы обязаны
периодическим шуршанием дисковых головок в моменты, когда мы смотрим на
экран и не проявляем никакой видимой активности.
Исторически сложилось, что на границе страны и в ее таможенной службе
Интернетовском Таможенном Департаменте ИнеТД (inetd) служат доверенные
лица, имеющие значок (suid 0). Им разрешается пропускать туристов и товары
через один из государственных 1024 портов (в стране Unix есть еще и
множество частных портов, не контролируемых государством. Любой подданный
имеет право открыть свой частный порт, однако все государственные порты
строго контролируются).
По межгосударственному соглашению, заключенному когда-то в Беркли между
дружественными Unix монархиями, транспорт, пришедший из государственных
портов других стран, пользуется особенным доверием и пропускается без
особенного таможенного контроля. Соглашение было выработано в период
существования нескольких сильных Империй, которые хорошо знали друг друга.
Теперь же всякий, без особого труда может завести себе маленькую
персональную империю, владеть в ней всеми портами и отправлять контрабанду
через любой из них. Более того, такие мелкие империи даже не обязаны иметь
конституционное монархическое устройство Unix. Чаще всего они имеют
довольно мягкий режим управления, позволяющий любому проходимцу
прикинуться Рутом на час. Более того, террористы научились поддерживать
дорожные документы и часто даже невозможно установить, откуда прибыл груз.
Таможенные соглашения (r-commands), заключенные в Беркли оказались
совершенно неприемлемыми для современного мира мелких государств с мягким
управлением. Поэтому, мудрые руководители игнорируют соглашения и весьма
тщательно проверяют весь груз, проходящий через порты.
======== cut =========
--
Best regards, mailto: genix at sendmail.ru
Genix http://saratov.lug.ru
Registered Linux User #219993 JID: genix at jabber.org
-= С моих слов записано верно, мною прочитано =-
More information about the Sarlug
mailing list