Re: Herr Schilling ….. - Kasperskys Unix-Virenscanner ermöglicht …
Geschrieben von: admin in Allgemeinhref=”http://www.ecomdev.de/2008/09/01/vmware-fusion-20-mit-virenscanner/”>virenscannerrf ein Prozess, welcher Rechte bzw Faehigkeiten an Objekte
> > vergibt, diese Objekte auch erzeugen? OBjekt: z.B. ausfuehrbare
> > DAtei, FAehigkeiten: ausgefuehrt zu werden ….
>
> Ein Objekt welches das Recht hat Rechte zu vergeben kann sich selbst
> auch die absoluten Rechte geben, selbst wenn es sie ursprünglich
> nicht hat.
Wenn man das will, dann muesste man saemtliche Filesysteme erweitern.
Klar sind Loesungen denkbar bei denen ein ausfuehrbares File
zusaetzliche Metadaten bekommt die eine Rechteliste darstellen.
Das Problem ist hier aber, dasz dies wenig flexibel ist, weil man
nicht einem Binary unterschiedliche Moeglichkeiten nach den Rechten
der Nutzer geben kann.
Auszerdem bedeutete dies, dasz man zuzaetzlich ACLs braeuchte
die den Zugriff Regeln. Das bedeutet aber ein unwartbares System,
denn wenn man einen Ueberblick braeuchte welcher Nutzer welche
Rechte hat, muesste man alle Dateien im Filesystem abklappern.
> Wenn man dieses Einschränkt, dann kann es vorkommen, daß gewisse
> Objekte überhauptnichtmehr zugreifbar sind (Weil ggf. die Rechte zum
> Zugriff auf dieses Objekt nur dem Objekt selbst gewährt sind). Dies
> ist aber garantiert nicht gewollt. Dementsprechend wird es in jedem
> System einen Nutzer geben, welcher — direkt oder indirekt — alle
> Rechte ausüben kann.
Das ist nicht noetig.
Auf Systemen der Sicherheitsstufe “B” darf es sowas sogar nicht
geben. Die B-Klassifizierung legt fest, dasz ein Nutzer der
zuviele Einzelrechte zu akkumulieren versucht, aller Rechte zu
berauben ist.