Доброго времени суток!
Мне в руки попала книга «Эви Немет, Гарт Снайдер, Скотт Сибасс, Трент Р. Хейн = UNIX - руководство системного администратора». Серия: для профессионалов. Год издания: 2002. Как попала — я её купил :) В ней есть «Глава 21 — Безопасность». Но прежде чем задать Вам очень важный для меня вопрос я, с Вашего позволения, кое-что из неё процитирую.
<-------Цитирование------------>
Разработчики операционной системы UNIX не предавали особого значения вопросам защиты, и по этой причине не одну из UNIX-систем нельзя сделать по-настоящему безопасной. На протяжении всей истории UNIX-систем их регулярно взламывают, портят, увечат, а также не законно присваивают и модифицируют данные. С появлением сети Internet начался новый этап этой «холодной войны».
Кое-что для повышения надёжности UNIX-системы, разумеется, сделать можно. Но полная нирвана безопасности всё же недостижима, ибо в модели UNIX есть несколько фундаментальных изъянов, которые невозможно устранить.
1.ОС UNIX ориентирован прежде всего на удобство в применении, что отнюдь не предполагает естественность и простоту её защиты. Эту систему разработали исследователи для исследователей, и концепция UNIX заключается в обеспечении удобного манипулирования данными в сетевой многопользовательской среде.
2.Стратегия защиты в UNIX, по сути, предполагает всего два статуса пользователя: пользователь, не обладающий привилегиями, и суперпользователь. Такая возможность UNIX, как выполнение программ с установленным битом смены идентификатора пользователя, обеспечивает привилегированный доступ ко всем вычислительным ресурсам системы. При этом из-за незначительных огрехов в защите может быть поставлена под угрозу нормальная функционирование системы как таковой.
3.Большинство административных функций реализовано вне ядра, поэтому к ним можно без особого труда получить доступ с целью просмотра и внесения изменений. Это открывает широкое поле деятельности для хакеров.
Первое издание этой книги вышло в свет всего несколько месяцев спустя после появления в сети Internet знаменитого «червя» (1988 год). Это событие, которое застало врасплох очень многие организации (в том числе и наш Университет), получило широкую огласку. Тогда казалось, что Роберт Моррис младший, автор программы-«червя», навлёк страшнейшее бедствие на всё сообщество Internet.
На самом деле «червь» нанёс лишь незначительный ущерб, зато бдительность пользователей глобальной сети возросла на порядок. Все просто ещё раз вспоминали о народной мудрости: чем выше заборы, тем добрее соседи. В результате появился целый ряд прекрасных инструментальных средств для системных администраторов (а также была основана организация, предназначенная для борьбы с подобным вредительством).
В системе защиты UNIUX существует множество всем известных изъянов, которые никогда не будут устранены, и просчётов, которые одни производители устранили, а другие — нет. Помимо этого, многие организации на одну-две версии программного обеспечения отстают: либо по причине сложности локализации, либо по тому, что они не заключили с поставщиком договор о сопровождении системы. Если производитель заткнул маленькую дырочку в системе защиты, это не означает, что окно для взлома исчезнет на следующий же день.
Раньше считалось, что по мере выявления и устранения брешей безопасность операционной системы UNIUX будет непрерывно повышаться. Суровая реальность оказалась иной. Сложность системного программного обеспечения стремительно растёт, хакерская деятельность всё больше приобретает черты организованной преступности, компьютеры оказываются всё более тесно связанными посредством сети Internet. Война переходит в новые измерения, и, похоже, победителей не будет.
Запомните такую формулу:
---------------------- Безопасность = 1 / (1,072 x Удобство ) -----------------------------
Чем безопаснее система, тем труднее в ней работать пользователям.
<-------Конец цитирования------>
Я бы очень просил всех Вас, кто прочёл этот отрывок, высказать своё мнение по поводу прочитанного. Можно с аргументацией и объяснениями (если есть время и желание), а можно без.
Всем ответившим я заранее говорю большое спасибо!
С уважением, melcomtec.
Я бы просил всех Вас - читающих эти строки - не стесняться и высказать своё отношение к приведенной книжной цитате, своё мнение. В независимости от уровня подготовки, специальности, места работы и возраста: мне очень важно знать что Вы думаете по этому поводу.
ну что... люди правильно всё написали и вот уже сколько лет прошло, а ничего не изменилось. безопасность борется с удобством... вот разве что процессов администратора меньше становится :)
C подобного рода утверждениями Вы тоже согласны?
Просто системы семейства виндовс не рассматривались вообще. :) Если автор пишет, что от юникс нельзя добиться полной безопасности, значит так и есть. Вот только ГНУ не есть юникс, а линукс-юниксоподобная ОС.
А по существу, легко ли взломать БСД (так как она является прямым потомком юникса) ?
Какой Вы молодец! :) Я о том же и спрашиваю! :)
Так был же тэст по взлому Windows,MacOS,Ubuntu.
Ну так где же он? :) Где ссылки?
Первой улетела МакоС со своим сафари (вроде за минуты), потом виста, а потом убунта. По ссылкам, которые вам "подсовывают", вы не ходите.
C того момента я уже давно "записал" вас в свои доверенные источники и думал, что нашим "добрососедским" отношениям ничего не мешает . Но Вы правильно сделали, что напомнили мне. Я действительно не хожу по ссылкам от кого попало. Видимо и по Вашим, всё-таки, не стоит.
Когда вы потеряете бдительность, я украду все ваши пароли и переименую все личные файлы матерными словами.
Вот блин! Как нарисовать смайлик где я горько плачу?
книга-то старая. я на середине переработки этой книги только про линукс... тама мелкософт поливают будь здоров
Помню на парах препод по безопасности приводил несколько примеров того как удобство мешает безопасности, с чем я конечно согласен.
а по поводу всего остального полный бред.
читайте эрика рэймонда искусство программирования для юникс (начиная с 87 страницы идет сравнение ОС) где ясно говорится что нужно выносить из ядра всякую ненадежную хрень, а в вашей книжке говорится что "3.Большинство административных функций реализовано вне ядра" есть отрицательная черта, а доводы этого мнее обоснованные чем у эрика...
Спасибо Вам огромное за конструктивный и дельный ответ по теме вопроса. Я Вам очень благодарен. Ещё раз спасибо.
Наглый трандеж! :) Юникс создавался крепкими духом бородатыми мужчинами, для которых «удобство в применении» дело десятое.
Как только потребовались более гибкие системы управления безопасностью, сразу появились всякие SELinux'ы и прочее. Видимо, автор сего опуса имеет виду одни из первых версий Юникса, которые состояли из пары сотен строк кода. :)
Наглый гон. Если программа выполняется не в пространстве ядра, а в пространстве пользователя, то это не значит, что все остальные пользователи имеют доступ к этой памяти. Да и в каких ОС все административные функции в ядре? Пущай автор креатива приведет пример.
Главный фундаментальный изъян — отсутствие мозга у этого писателя. Пускай едет картошку в колхоз собирать. Вопросы компьютерной безопасности явно не для него. :)
Ура!!!! :)))
Спасибо за ответ! Всё-таки именно теперь у меня отлегло на сердце! :)
все правильно: Юникс создавался крепкими духом бородатыми мужчинами для бородатых мужчин =), а «удобство в применении» для все остальных дело десятое =)
:)))))))
посмотрел эту книжку, и наткнулся на этот форум псле того как коснулся вопросов безопасности ...и тоже был несколько удивлен, однако считаю, что это все не с потолка взято поэтому просто говорить, что это все гон думаю не правильно... и еще, действительно когда создавался первый unix (1969), винды и в проекте не было да и вопросы безопасности не стояли так остро.
Может кто-нибудь ответит откуда взялся коэффициент 1,072 в формуле безопасности
Книга, видимо, не рассчитана на людей с высоким коэффициентом интеллекта, которые могут задуматься над этом вопросом. :)
Отправить комментарий