Pokaż wyniki 1 do 3 z 3

Temat: posix vs windows security

  1. #1
    Zarejestrowany
    May 2010
    Postów
    184

    Domyślnie posix vs windows security

    Interesuje mnie wasza opinia na temat roznicy miedzy bezpieczenstwem systemowlinuxowych i windowsa.

    Jak dla mnie, posix ma duzo prostsze mechanizmy ktore dzialaja i spelniaja swoja role.
    Windows ma skomplikowane listy ACL, rozne 'wyjatki' w nich, i zapewne nie obeszlo by sie bez problemow przy configu nawet malej sieci.


    Glownie chodzi o zabezpieczenia obiektow. W posix obiekt jest reprezentowany tak samo, jako plik. Ulatwia to dostep do nich, podoba mi sie to. Prawa dostepu sa czyste (zapis/odczyt/wykonanie, list/createdelete/traverse, suid, sgid, stick).
    Organizujac pliki w grupy mozna latwo i jasno okreslic kto ma prawa do czego, trudno sie pomylic, bo to jest intuicyjne.
    Jedyny problem, o ile mozna tak to nazwac to instalacja/kompilacja programow. Skrypty konfiguracyjne sa dosc upierdliwe, ale imho bezpieczne o ile system jest dobrze skonfigurowany i nie odpalasz ich jako root.


    Pod windowsem jest pierdyliard roznych funkcji typu CreateFileA/W, CreateEventA/W, CreateNamedPipeA/W, i praktycznie przed kazdym uzyciem otwieram manual... odruchowo, bo wiem ze predzej czy pozniej pomieszam argumenty.
    Windows nie posiada narzedzi do obslugi tego z konsoli, a jesli posiada to z brzydka 'skladnia'. Pod windowsem konfiguracja odbywa sie za pomoca GUI, co bywa czasami upierdliwe.
    Windows ma rozne mniej lub wcale udokumentowane sprawy, jak tajemniczy access right przy katalogach. CreateFile tworzy go domyslnie, ale jak uzyje natywnej funkcji bez niego koncze z odmowa dostepu. Oczywiscie nikt mi tego nie byl w stanie wyjasnic jak robilem research, bo nie wiele osob sobie zawraca glowe takim czyms.


    Pytanie, czemu windows jest na rynku serwerow? Rozumiem, ze jak ktos lubi sobie pograc albo kozystac z softu tylko pod windows, to nie ma wyjscia, ale czemu serwery wszelakiego typu stoja na windowsie?
    Jak juz jestem przy serwerach, to chcialbym poruszyc temat domeny. Nie, nie dns, tej 'windows', active directory.
    Na ch** to jest? Dla mnie bardziej przystepne jest zalogowanie sie lokalnie, nawet jako jakis 'nobody', a pozniej kozystanie z zasobow zewnetrznych przez ssh czy inny soft dzialajacy na podobnej zasadzie.
    Jaki sens ma active directory, poza tym, ze jeszcze bardziej komplikuje juz wystarczajaco skomplikowany system, dodaje elementy ktore stwarzaja tylko ryzyko, i dosc skutecznie utrudniaja diagnostyke.
    Pytanie dwa, czy jesli na 'codzien' kozystasz z domeny, bylbys w stanie odczuc komfort po przejsciu na rozwiazanie jakie ja proponuje? Login nobody, brak dostepu do prawie niczego poza programami uzytkowymi (office, etc), klientem ssh/ftp?
    Oczywiscie mowa o sytuacji gdzie nie masz problemow z sciagnieciem/wyslaniem pliku na serwer, co tak naprawde moze sie dziac automatycznie przez 3rd party program z ktorego kozystasz. Chodzi o rozdzielenie zadan systemu (logowanie) i sieci (zasoby zdalne).

  2. #2
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    W *NIX'ach wszystko jest plikiem wiec POSIX'owe ACL'e sa jak najabrdziej wysmienitym rozwiazaniem, zwlaszcza jak uzywa sie extended attributes.

    Co do windows hmmm... wiesz jaki jest adres ich biura? 1 Microsoft Way (mozna znalazc ogladajac dane w naglowkach oryginalnych plyt z windowsem) i to potwierdza sie w ich polityce dzialania. Poza tym AD to prawie LDAP z malymi zmianami
    Bylo sobie RPC... DCE RPC... ale Microsoft musial zrobic po swojemu i mamy cudowne MSRPC teraz. Implementacja stosow TCP/IP to samo - po swojemu zrobili bo musza byc inni i tyle.

    Nie jestem za bardzo oblatany w produkltach Microsoftu i jak one dzialaja ale cos tam o nich wiem - jesli cos zle ponizej napisalem to prosze o sprostowanie.

    Co do uprawnien do plikow i nie tylko - wszystko opiera sie o SAT (token, cos w rodzaju karty dostepu - skomplikowany temat) i cale dziedziczenie idzie na bazie tego co tam jest. Teraz co do AD zamiast domen i prostszych rozwiazan - ma to sens jak masz duza siec, mozesz ladnie okreslic komu co wolno, czego nie wolno itd... a uprawnienia na poziomie NTFS sa ZAWSZE przestrzegane, niezaleznie od tego kim jest user, wiec to nie jest takie zle. AD jest po to aby miec centralna baze opisujaca zasoby:
    - userow
    - ich uprawnienia
    - maszyny dostepne w sieci (maja swoje konta tak jak userzy)
    - zasoby dostepne w sieci
    - uprawnienia wymagane aby miec dostep do obiektu
    - grupowanie wszystkiego co powyzej
    - mapowanie user-uprawnienie-obiekt (DENY zawsze wygrywa z ALLOW - to bardzo wazne!)

    Teraz kazdy obiekt w danym systemie ma swoje uprawnienia i ten SAT ktory user ma z AD musi pasowac do tego co obiekt (np plik) wymaga - wtedy masz dostep.

    AD zapewnia centralne logowanie, usluge DNS dla domeny, pozwala tworzyc zaleznosci miedzy domenami w AD - np jednostronne zaufanie, sync, dwustronne zaufanie, itd. Mowi sie wtedy o drzewach i lasach (w tlumaczeniu na polski) i calosc staje sie o wiele bardziej skomplikowana

    To na prawde ma sens jesli masz duza siec, inaczej to moim zdaniem strata czasu. U nas bardzo mocno z tego korzystamy - z koncem miesiaca bedziemy mieli 3100 pracownikow w ponad 10 krajach na 3 kontynentach. Rozne departamenty moga zarzadzac swoimi zasobami w ramach swoich uprawnien a calosc ladnie sklada sie w spojny system. Nie mowie ze bez AD by sie nie dalo... ale z AD jest prosciej bo jest to natywne rozwiazanie wbudowane w produkty Microsoftu.

    Troche sie rozpisalem ale mysle ze daje to nieco lepszy obraz tego co udostepnia AD - przynajmniej dla osob ktore AD nie znaja... ja wlasnie probuje sie nieco wiecej o tym nauczyc bo niebawem bedzie mi to bardzo potrzebne.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  3. #3
    Zarejestrowany
    Sep 2009
    Skąd
    Z Nienacka
    Postów
    396

    Domyślnie

    Witam,

    trochę się nie zgodzę z TQM, że sprawdza się tylko w dużych sieciach... Całkiem nieźle radzi sobie w małych sieciach firmowych...

    Ponadto dodałbym jeszcze potęgę GPO...tym naprawdę można sobie umilić życie... No i w sumie bezproblemową implementację Kerberosa...

    Natomiast jeśli chodzi o trzymanie się standardów to tu faktycznie nie jest ciekawie... Przykład IPsec...chociaż tu pomysłodawcy standardu zostawili zbyt szerokie pole manewru, a MS tylko na to czeka...

    To takie moje skromne trzy grosze...

    Pozdrawiam

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52