Архив форумов ЦИТФорума

[Борис]

Считаю, что админ не прав в следующей ситуации:

- для журналирования админу даны диски с однократной записью, уже содержащие метку арбитра с его же ЭЦП, либо арбитр регулярно сам ставит новые отметки с ЭЦП на такой диск;

- журналирование действий пользователя заверяется ЭЦП пользователя;

- расхождение утверждений админа с содержимым этого диска.

Метка с ЭЦП на диске оградит весь диск от подмены, ЭЦП на действиях пользователя оградит журналы от подмены.

[Dmitry.Karpov http://prof]

Допустим, админ получил диск с ЭЦП, но ЭЦП можно скопировать на другой диск. Проблема в том, что ЭЦП защищает только данные, на которые она (ЭЦП) была наложена ПОСЛЕ формирования этих данных, а логи пишутся на диск после того, как диск выдан. Короче, это ни от чего не защищает...

Журналирование с ЭЦП юзера или без него будет производиться программами, работающими под управлением админа, поэтому как только юзер введет свой секретный ключ (вручную или с дискеты или еще как), этот ключ окажется на территории, контролируемой админом, а значит, может легко попасть прямо админу в руки. Это - защита от ламера, но если такая задача станет актуальной, то люди напишут соотвествующие программы и выложат их на Web.

[Борис]

.

[Dmitry.Karpov http://prof]

Настоятельно прошу сходить на http://prof.pi2.ru и прочитать про локльные и глобальные сЕти. Вообще, отношения между компьютерами в сетИ - это опосредованные отношения их владельцев, поэтому все в сетях, как и в жизни, определяется основным вопросом жизненной философии: "А деньги?".
Так вот, как только мы дали админу машину и поручили настроить на ней выполнение работ, мы должны понимать, что машина в полном распоряжении этого админа в силу открытости писюковой архитектуры. Техническими средствами это преодолеть нельзя - только принять административные меры к админу в случае массового недовольства юзеров...

[Борис]

А все-таки если хост используется только как файл-сервер, а обработка выполняется на действительно персональном компьютере, соответственно в файл журнала тогда пойдет уже ЭЦПодписанная информация, и админ ее не подделает.

[ALEX_SE]

-

[Dmitry.Karpov http://prof]

Беда в том, что при удалении файлов клиентская машина может не послать в логи подписанного сообщения; и пойди докажи, кто удалил файлы, если в логах вообще никакой записи!

Конечно, можно перейти на систему авторизованных сообщений между клиентом и сервером - для каждой операции клиент создает подписанное задание, а сервер выполняеэт это задание и хранит копии в логах.

Но я хочу напомнить, что клиентские машины тоже находятся под управлением админа - в частности, админ их настраивает; а еще админ может управлять содержимым папки "АвтоЗапуск" (часто эти папки вообще хранятся на сервере). =>, админ имеет возможность узнать ЭЦП юзера, чем сводится на нет вся система неотрицаемости действий.

Да, админоустойчивые системы существуют, но они администряются немного совсем иначе: крупная фирма типа IBM ставит в банк свою машину с уже установленной системой, а банковский админ не имеет возможности загрузить ее с дискеты, не имеет прав на изменение ядра системы, и вообще, это не полноценный админ, а что-то типа оператора в Unix, которому через sudo доверили менять пароли отдельных юзеров и ребутать систему, но не разрешили ничего остального из рутовых действий (в т.ч. замены софта). А тот настоящий админ, который имеет право все это делать, сидит в IBM, и при его зарплате ему на фиг не нужно подделывать логи; более того - этот админ не имеет удаленного доступа к системе, локально его не пустит охрана банка, а ключи от загрузочного дисковода (железка с зубчиками как ключ от квартиры) вообще хранятся у третьего лица, которому подделка логов еще более не нужна. Но если все трое сговорятся, то они, конечно, подделают логи; правда, нужна будет еще помощь программиста, который писал систему логов, т.к. эти системы с закрытым кодом. И такая система стОит пользователю (банку, заводу, etc) таких денег, что ни нам (участникам форума), ни нашим работодателям не снились...