Revision as of 14:38, 29 January 2010

Processi con minori capabilities

Sommario

Questa caratteristica progettuale riduce le facoltà o capabilities di tutti i demoni di root e di molte applicazioni setuid. I permessi su file e directory possono essere modificati in modo da richiedere DAC_OVERRIDE per ogni aggiornamento del sistema.

Progettista

Nome: Steve Grubb
Email: sgrubb@redhat.com

Stato attuale

Rilascio: Fedora 12
Per informazioni aggiornate sullo stato di LowerProcessCapabilities consultare la pagina originale.

Descrizione dettagliata

Quando un processo attacca un sistema, normalmente non può fare molto, a meno che non abbia adeguati privilegi.
Ciò che promette questa caratteristica progettuale è di ridurre il numero dei potenziali obbiettivi destinatari di un attacco, i quali poi potrebbero essere usati con i propri privilegi per compromettere il sistema.
Per esempio, se un processi di root non ha piene capabilities, è molto difficile poterlo usare per sovvertire il sistema. Ma se un processo riesce ad attaccare con successo un processo di root, quali sono i passi necessari per isolare l'intruso? I processi di root, si sa, possono danneggiare un sistema se vengono usati con mali intenzioni. Infatti essi posssono scrivere in ogni file e naturalmente leggere il file /etc/shadow. Ma se si riesce a irrobustire il sistema in modo che a root sia richiesta la DAC_OVERRIDE capability, allora soltanto un ristretto numero di preocessi potrà dannegiare il sistema.
Questa caratteristica non influenzerà alcuna facoltà di amministrazione poichè esse ottengono comunque sempre pieni privilegi che includono anche DAC_OVERRIDE.
Un sistema robusto avrà permessi del tipo

555 /bin 
555 /lib 
000 /etc/shadow

e così via.
Questa feature si propone di proteggere le directory /boot, /root, le librerie e quelle riferite dalla variabile $PATH.
Questo tipo di protezione non influenza SELinux in alcun modo ma si complemeta ad esso, poichè le capabilities sono controlli DAC ed come tali sono usati prioritariamente nell'autorizzare un accesso.

Vantaggi per Fedora

Il vantaggio è che Fedora è più sicuro.

Altre informazioni

Per:

Obbiettivi
Test Plan
Esperienza Utente
Dipendenze
Progetto corrente
Documentazione
Note di rilascio
Commenti e Discussioni

consultare la pagina originale di questo documento.

@@ Line 1: / Line 1: @@
-= Lower Process Capabilities =
+= Processi con minori ''capabilities'' =
 == Sommario ==
-This feature will lower the capabilities of all root daemons and many setuid apps. File and directory permissions may be reworked to require DAC_OVERRIDE for any system update.
+Questa caratteristica progettuale riduce le facoltà o ''capabilities'' di tutti i demoni di root e di molte applicazioni setuid. I permessi su file e directory possono essere modificati in modo da richiedere DAC_OVERRIDE per ogni aggiornamento del sistema.
 == Progettista ==
@@ Line 12: / Line 12: @@
 * Per informazioni aggiornate sullo stato di ''LowerProcessCapabilities'' consultare la [[Features/LowerProcessCapabilities#Current_status | pagina originale]].
+== Descrizione dettagliata ==
+Quando un processo attacca un sistema, normalmente non può fare molto, a meno che non abbia adeguati privilegi.<BR>
+Ciò che promette questa caratteristica progettuale è di ridurre il numero dei potenziali obbiettivi destinatari di un attacco, i quali poi potrebbero essere usati con i propri privilegi per compromettere il sistema.<BR>
+Per esempio, se un processi di root non ha piene capabilities, è molto difficile poterlo usare per sovvertire il sistema.
+Ma se un processo riesce ad attaccare con successo un processo di root, quali sono i passi necessari per isolare l'intruso? I processi di root, si sa, possono danneggiare un sistema se vengono usati con mali intenzioni. Infatti essi posssono scrivere in ogni file e naturalmente leggere il file /etc/shadow. Ma se si riesce a irrobustire il sistema in modo che a root sia richiesta la  DAC_OVERRIDE capability, allora soltanto un ristretto numero di preocessi potrà dannegiare il sistema.<BR>
+Questa caratteristica non influenzerà alcuna facoltà di amministrazione poichè esse ottengono comunque sempre pieni privilegi che includono anche DAC_OVERRIDE.<BR>
+Un sistema robusto avrà permessi del tipo
+/bin
+/lib
+/etc/shadow
+e così via.<BR>
+Questa feature si propone di proteggere le directory /boot, /root, le librerie e quelle riferite dalla variabile $PATH.<BR> Questo tipo di protezione non influenza SELinux in alcun modo ma si complemeta ad esso, poichè le capabilities sono controlli DAC ed come tali sono usati prioritariamente nell'autorizzare un accesso.
-== Detailed Description ==
+== Vantaggi per Fedora ==
-When someone attacks a system, they normally can't do much unless they can escalate privileges. What this feature will do is reduce the number of attack targets that can be used to escalate privileges. If root processes do not have all capabilities, they will be harder to use to subvert the system.
+Il vantaggio è che Fedora è più sicuro.
-But if some does successfully attack a root process, can steps be taken to render it hard to take advantage of? The answer is yes. Processes with the root uid can still damage a system. This is because they can write to nearly any file and of course read the /etc/shadow file. But if we harden the system so that root requires the DAC_OVERRIDE capability, then only a limited number of processes can damage the system. This won't affect any admin abilities because they always get full privileges which includes DAC_OVERRIDE.
-A hardened system would have permissions like: 555 /bin, 555 /lib, 000 /etc/shadow and so on. The current scope is to cover the directories in $PATH variable, library dirs, /boot, and /root. This scheme does not affect selinux in any way and complements it since capabilities are DAC controls and they have first vote on allowing an access.
-== Benefit to Fedora ==
-The benefit is that Fedora is more secure.
 == Altre informazioni ==
@@ Line 37: / Line 42: @@
 [[Category:FeatureAcceptedF12]]
+[[Category:Italiano]]

Search

Archive:It IT/Releases/12/Features/LowerProcessCapabilities: Difference between revisions