Moin,
On Sun, Feb 02, 2003 at 09:21:26PM +0100, Ingo Rohlfs wrote:
> *BSD kennt spezielle Dateisystemflags, zu ändern mit chflags.
> Zusammen mit den secure-modi von init scheint mir eine nennenswerte
> Möglichkeit vorzuliegen, die Systemsicherheit zu erhöhen.
Das kann man so sehen, ja. Zumindest kann man (wie hier auch
kuerzlich diskutiert) einem erfolgreichem Eindringling, das
untentdeckt bleiben erheblich erschweren.
> Zu meiner Überraschung wird dies in "Building Internet Firewalls"
> negiert. Nach Meinung des Autors bringt das nichts, weil man immer
> noch auf die Platte roh (/dev/ad0s2c etc.) zugreifen kann.
Genau das verhindert man (so ich die manpage von init richtig
verstanden haben) durch das Heraufsetzen des Secure-Levels auf
Werte >= 2. Ein Schreibzugriff auf disk-Devices sollte dann
nicht mehr moeglich sein.
> Darf man dies getrost als "für FreeBSD nicht zutreffend" streichen,
> oder hat jemand Erfahrungen gemacht, die den Autor stützen?
Die Erfahrung ist, dass ein secure-level > 1 System sehr exakt
und sehr umsichtig planen muss, um sich nicht in de facto nicht
vorhandener Sicherheit zu wiegen.
-Andreas
-- sick. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sun 02 Feb 2003 - 22:15:15 CET