Автор Тема: Федора 12 и разни странности  (Прочетена 1628 пъти)

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Много се чудих дали на това мястото му е тук или в секцията за живота и глупостите дето служи за тролване по принцип.

За да не обяснявам аз за какво иде реч, тук е описана една странност свързана с новата федора 12:

https://bugzilla.redhat.com/show_bug.cgi?id=534047


Всъщност, това повдига доста интересни въпроси. Първо, според мен това е едно отместване на фокуса от секюрити гледна точка от традиционните общоприети linux механизми (само superuser-а да може да инсталира нов софтуер, там изпълним код и библиотеки) към криптографски механизми.

Идеята е че само подписан с частния ключ на федорците софтуер може да бъде инсталиран от не-руутски потребители. Сега аз не съм някакво крипто-гуру, но според мен вероятността някой да изработи RPM пакет и да налучка някаква стойност, която съвпада с SHA1 сумата от пакета криптирана с частния ключ на федорците, е повече от нищожна. За да получиш частния им ключ от публичния трябва да факторизираш едно непосилно голямо число, което е изчислително непосилна задача. Имам предвид с глупости като msieve на commodity хардуер на практика е невъзможно да факторизираш 1024-битов RSA модул, федорците бидейки параноици, сигурно ползват по-голям RSA ключ. Абе на практика, не би трябвало да можеш да инсталираш някакъв твой си зъл backdoor.

От друга страна обаче можеш да инсталираш *федорски* подписани пакети. Дали някой от тях не би могъл да бъде някакъв мрежов демон, чиято default-на конфигурация не улеснява придобиването на root-ски права по *лесния* начин? Това е интересен въпрос.

И по принцип дали одобрявате такава идея? Честно казано съм доста раздвоен. От сисадминска гледна точка ми се вижда абсолютна идиотщина цялата идея. От друга страна имам поне някаква идея от public-key криптография и знам, че би било относително невъзможно да инсталираш нещо извън официалните подписани федорски репо-та.

Забавна работа.
« Последна редакция: Nov 19, 2009, 01:22 от gat3way »
Активен

"Knowledge is power" - France is Bacon

c2h5oh

  • Напреднали
  • *****
  • Публикации: 675
  • Distribution: CentOS 7.4 Fedora 28
  • Window Manager: Plasma Desktop
    • Профил
Re: Федора 12 и разни странности
« Отговор #1 -: Nov 19, 2009, 08:33 »
Първо, според мен това е едно отместване на фокуса от секюрити гледна точка от традиционните общоприети linux механизми (само superuser-а да може да инсталира нов софтуер, там изпълним код и библиотеки) към криптографски механизми.
Абсолютно съм съгласен Може да ви звуча консервативно (особено когато се говори за дистрибуция като Fedora) но консервативното поведение на потребителите в системата се възпитава от това което наричаш "традиционни общоприети механизми" Това поведение е основата на системната сигурност. Вярно че от "техническа" гледна точка е възможно и достатъчно сигурно юзъра да инсталира пакети но това е отклонение от изпитаната ортодоксална практика на *nix системите Надявам се това да остане в рамките на експериментите Не бих искал да стане като в *buntu - навсякъде sudo и накрая въпроси във форума - каква е root-ската парола
Активен

mishot

  • Напреднали
  • *****
  • Публикации: 191
  • Distribution: Fedora 16
  • Window Manager: Gnome-Shell
    • Профил
Re: Федора 12 и разни странности
« Отговор #2 -: Nov 20, 2009, 11:10 »
Има решение!
Създава се файл в /var/lib/polkit-1/localauthority/20-org.d (името е по избор, стига да завършва с  .pkla)) със следното съдържание:

[NoUserSignedInstall]
Identity=unix-user:*
Action=org.freedesktop.packagekit.package-install
ResultAny=no
ResultInactive=no
ResultActive=auth_admin
Активен