MacOSX security [was: Ασφάλεια και αυτόματο indexing αρχείων ]

Panagiotis Atmatzidis p.atmatzidis at gmail.com
Tue May 2 19:08:44 EEST 2006 

Giorgos Keramidas wrote:
> On 2006-05-01 18:09, Panagiotis Atmatzidis <p.atmatzidis at gmail.com> wrote:
>> Giannis Papadopoulos wrote:
>>> Δυστυχώς η διαχείρηση του όγκου είναι πλέον βραχνάς - πόσο μάλλον το
>>> searching με βάση keywords (ουτοπία μάλλον).
>> Δεν νομίζω η Apple έχει βάλει στο OSX 10.4 Tiger το spotlight. Είναι ένα
>> search *επόμενης γενιάς* το οποίο ψάχνει σε οτιδήποτε συμβματό με ..
>> spotlight, δηλαδή MS Doc's, txt, rtf, pdf, etc. Μπορώ να πω ότι
>> λειτουργεί *πολύ* καλά είδη.
>> Κάνει index τα καινούρια data όταν ο cpu είναι idle, κι έτσι ψάχνει σε
>> ένα δικό του db για το keyword.
>> Είναι πολύ γρήγορο.. σίγουρα θα δούμε και σε Linux κάτι παρόμοιο σύντομα.
> 
> <mode type="paranoid" level="fairly-large">
> 
> Κι έχει ιδιαίτερο ενδιαφέρον, επειδή το να κάνεις κάτι τέτοιο να είναι
> τόσο αποδοτικό όσο και ασφαλές (έτσι, δηλαδή, που να μη μπορώ εγώ να
> κάνω 'search' με ενδιαφέροντα keywords και να βρω πληροφορίες για τα
> αρχεία κάποιου άλλου) είναι εκπληκτικά δύσκολο.
> 
> Για παράδειγμα, η πιθανότητα για information leaks εκεί που δεν πρέπει
> είναι η λογική πίσω από εργαλεία όπως το slocate(1), που διορθώνει ένα
> προφανές κι άκρως επικίνδυνο bug στο locate(1) utility:
> 
> +--------------------------------------------------------------------+
> | SLOCATE(1)                                              SLOCATE(1) |
> |								     |
> | NAME								     |
> |								     |
> |     slocate - Security Enhanced version of the GNU Locate	     |
> |								     |
> | [...]								     |
> |								     |
> | DESCRIPTION							     |
> |								     |
> |     Secure Locate provides a secure way to index and quickly	     |
> |     search for files on your system. It uses incremental	     |
> |     encoding just like GNU locate to compress its database to	     |
> |     make searching faster, but it will also store file	     |
> |     permissions and ownership so that users will not see	     |
> |     files they do not have access to.				     |
> |								     |
> | [...]								     |
> |								     |
> +--------------------------------------------------------------------+
> 
> Ενα άλλο (ομολογουμένως πιο τραβηγμένο, αλλά σχετικό) κλασικό παράδειγμα
> έχει ο Bruce Schneier στο βιβλίο του "Secrets and Lies", όπου δείχνει
> πως ακόμα και να μην έχεις πρόσβαση στα ακριβή στοιχεία των ατόμων
> (π.χ. στο τηλέφωνό τους, τη διεύθυνσή τους, ή πόσα λεφτά βγάζουν το
> χρόνο) μπορείς με ενδιαφέροντα queries να βγάλεις από τα public records
> του IRS πάρα πολλή πληροφορία :-)
> 
> Αντίθετα από τα αυτοματοποιημένα search engines, τα οποία ενημερώνονται
> μόνα τους (σχεδόν "πίσω από την πλάτη σου", θα μπορούσαμε να πούμε),
> κάτι σαν αυτό που πρότεινε ο Δ. Σπινέλλης, είναι πιο ελεγχόμενο πιστεύω.
> Απαιτεί περισσότερο κόπο και λίγο σχεδιασμό από πριν, αλλά εμένα
> προσωπικά μ' άρεσε αρκετά.
> 
> </mode>
> 
> 
Δυστυχώς δεν έχεις άδικο. Ένα collateral effect είναι κι αυτό. Στην 
τελική αυτό μπορεί εύκολα (πιστεύω) να ρυθμιστεί έτσι ώστε ο χρήστης να 
χρησιμοποιεί ένα predefined[2] ή μόνο τα dir's υπό $HOME /tmp κτλ.
Πάντως το OSX προσφέρει την δυνατότητα δημιουργίας encrypted AES-128 
partition (λογικά κάτι σαν dd front-end πρέπει να είναι) το οποίο όταν 
είναι unmounted δεν μπορεί να γίνει το search οπότε "δεν καρφώνεσαι". 
Γιατί στην τελική, άμα είσαι τόσο παρανοϊκός τα δεδομένα σου τα έχεις 
κρυπτογραφημένα..

Για την ασφάλεια και το MacOSX που είπε κάποιος.. εμπιστεύομαι πολύ 
περισσότερο έναν "άσχετο" με ένα Mac παρά έναν "άσχετο" με Windows. Για 
να τρέξεις κάποια πράγματα που είναι κύριας σημασίας και μπορεί να 
βλάψουν το σύστημα το system administration ζητά root password. Αυτή 
είναι η default συμπεριφορά[1]. Πέραν αυτού, ότι ισχύει για τους ιούς σε 
Linux ισχύει και σε OSX. Για firewall έχει το ipfw το οποίο λειτουργεί 
άψογα κι από το user interface, ενώ υπάρχει η δυνατότητα 
παραμετροποίησης από command line.
Εξ άλλου δεν μπορείς να τα advisories που βγαίνουν για windows per month 
με αυτά που βγαίνουν για Macintosh. Μην τρελαθούμε εντελώς, να μην πω 
ότι αυτά που βγαίνουν για linux related app's αυτήν την στιγμή ίσως 
είναι παραπάνω ανά μήνα.



[1] Το λέω αυτό για να μην μου πετάξει κανείς κανά μαργαριτάρι του στυλ 
"Ναι, αλλά ο χρήστης μπορεί αν το βγάλει αν θέλει και να μην βάζει 
password πουθενά". Φυσικά και μπορεί και θα ήταν <b>απαράδεκτη στέρηση 
ελευθερίας το αντίθετο</b>.


[2] Στο spotlight υπάρχουν πολλοί τρόποι για να βγάλεις κάποια directory 
από το indexing. Αυτός είναι ένας από αυτούς: 
http://www.macosxhints.com/article.php?story=2005050222125145

More information about the Linux-greek-users mailing list