On Tuesday 30 November 2004 19:48, TeraHz wrote:
> On Mon, 2004-11-29 at 07:13, Danail Petrov wrote:
> > Здравейте ,
> > Преди да напиша каквото и да е ще кажа само: не стартирайте това в
> > нормална конзола, ползвайте ulimit ако сте любопитни.
> >
> > Та ... Какво според Вас прави това в баш шел:
> > :(){ :|:&};:
> >
> > Зная отговора , но чак след като го изпълних... (ребоот-а е нейзбежен)
> >
> >
> > Поздрави,
> > Данаил Петров
>
> Здравейте,
> Следя тази тема и си мисля, че ако някой може да даде код за лимитиране
> на процесите който да се сложи в кернел-а, подобен род бомби няма да са
> проблем.Поне с до такова заключение стигнах с моите познания. Дори и
> програмата да си се извиква себе си ако стигне някакъв лимит Аз нямам
> достатъчно знания за да предложа подобен код, но може би някой от вас
> може.
Здрасти,
може би си прочел вече, че стандартното ядро има механизми да се справя с
подобни бомби без каквито и да са лимити в лицето на OOM killer и различни
security models. Има няколко security модела - Linux Security Modules, като
SELinux и други които са част пак от стандартното ядро и една камара чакащи
отвън като grsec, RSBAC [0], и т.н., последното е с много възможности и
модулно и май е европейския отговор на SELinux. (Хората са написали бая нещо
за ядрото, просто трябва да се чете и тества, което е доста време- и
-ресурсопоглъщащо и хич не е лесно да се разбере всичко, т.е. топката е в
полето на позвателите, каквото научат и разберат това е, а работата
надебелява прогресивно;-). Това гарантира освен Discretionary Access Control
(който е традиционно заложен във всеки Unix), и т.н. Mandatory Access
Control, което предполагам отива към B1 от Orange Book ако бъде оценено (да
това е една оранжева книга ;-) [1] (вярно, че не се гледа само ядрото де и
по-скоро оставащото подсигуряване на системата е по-скоро в потребителските
приложения, вкл. и компилаторите ... за gcc например има пачове като
pro-police и т.н., където работата е доста, виж какво e казал вчера Bruce
Schneier за userspace-a, страшилища ;-). Това е нещо като стандарт за
оценяване на Trusted Computing Systems наречен US Department of Defense
Trusted Computer System Evaluation Criteria или Oragne Book който не е
казано, че е вся и всьо, но в оценяването са замесени и NSA (No Such
Agency;-), NIST, NCSC. Всъщност NSA и DoD TCSEC са отишли по-далеч и освен
Orange Book са дефинирали още една камара книги оценяващи Trusted Computer
Systems в различни цветове от които най-важна е Orange Book, цялото е
известно като Rainbow Library [3]. За да стартира процедура по оценяване на
даден продукт и да се класифицира в този списък, то освен другите изисквания
трябва и някоя компания мисля, че трябва да е строго US да го представи за
оценяване, например Red Hat, Novell... Чел съм rumours, че някои компании
нарочно избягват подобно оценяване, което не значи, че продуктите им са
несигурни. Та ще е интересно скоро време да видим оценяване на продукта на
някой linux vendor.
[0]http://linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=367278847
[1] http://www.dynamoo.com/orange/summary.htm
[2] Desktop Google Finds Holes http://www.schneier.com/blog/
[3] http://www.radium.ncsc.mil/tpep/library/rainbow/index.html
--
pub 4096R/0E4BD0AB 2003-03-18 <keyserver.bu.edu ; pgp.mit.edu>
fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
