summaryrefslogtreecommitdiff
path: root/document.asciidoc
diff options
context:
space:
mode:
authorJan Klemkow <j.klemkow@wemelug.de>2013-01-07 14:39:31 +0100
committerJan Klemkow <j.klemkow@wemelug.de>2013-01-07 14:39:31 +0100
commit159557f82826d38a7f772e028942a9ab3f1be6a1 (patch)
tree46200df448270bb8fde8cab2f9f88d46ec2a2c9d /document.asciidoc
parent01758232766648c7db1f3a2c90c447d7b1946ceb (diff)
downloadsksys-159557f82826d38a7f772e028942a9ab3f1be6a1.tar.gz
sksys-159557f82826d38a7f772e028942a9ab3f1be6a1.tar.bz2
sksys-159557f82826d38a7f772e028942a9ab3f1be6a1.zip
Add Text for IPC connectivity.
Diffstat (limited to 'document.asciidoc')
-rw-r--r--document.asciidoc34
1 files changed, 22 insertions, 12 deletions
diff --git a/document.asciidoc b/document.asciidoc
index 97daa01..7819f8a 100644
--- a/document.asciidoc
+++ b/document.asciidoc
@@ -136,8 +136,6 @@ Zur Laufzeit werden diese hoeheren Rechte dann nicht mehr benoetigt.
Somit sollten diesen Prozesse nach ihrer Initialisierung diese Rechte wieder
abgeben und mit normalen Benutzer-Rechen weiter laufen.
-
-
=== Service-Seperation
Da auf einem Computer zumeist mehr als nur ein Dienst laeuft, welcher mit einem
@@ -182,23 +180,38 @@ Unter vielen Unix-Systemen wird dieser speziell fuer diese Aufgabe verwendet.
Sollte ein Dienst nur fuer einen bestimmten Kreis von Nutzern bestimmt sein,
dann sollte man die Erreichbarkeit des Dienstes auf diesen Kreis beschraenken.
-Systemdienste muessen nur in seltenen Faellen eine Weltweite Erreichbarkeit
+Systemdienste muessen nur in wenigen Faellen eine weltweite Erreichbarkeit
haben.
-Kommunikation innerhalb eines Hosts sollen immer ueber das Loopback-Interface
-gefuehrt werden.
-Vor allem in Windows-Systemen ist es in der Vergangenheit oft grossen Problemen
-mit Wuermern gekommen, weil verwundbare Dienste ueber das Netzwerk erreichbar
-waren.
+Ein Systemdienst, welcher mit hoeheren Rechten laeuft und global ueber
+Netzwerk erreichbar ist, ist immer eine enormes Sicherheitsrisiko fuer das
+Gesamtsystem.
+Bevor man sich bei der Entwicklung eines Systemdienstes fuer einen bestimmten
+Kommunikationsweg entscheidet, muss man sich bewusst sein, wer mit wem
+kommuniziert und wo sich die Kommumikationspartner befinden.
+Kommunikation innerhalb eines Hosts sollen ueber das Loopback-Interface
+oder UNIX-Domain-Sockets gefuehrt werden.
+Ein Dienst welcher ueber das Loopback-Interface kommuniziert, kann von jedem
+Prozess erreicht werden, welcher einen Netzwerk-Socket oeffnen kann.
+UNIX-Domain-Sockets sind an Dateien gebundene Verbindungen.
+Dadurch laesst sich ueber die systeminterne Benutzer- und Rechteverwaltung
+der Zugriff auf die Verbindung steuern.
+Wird doch eine Netzwerkkommunikation benoetigt, kann ueber die geeignet Wahl
+der IP-Adresse die Erreichbarkeit kontrolliert werden.
Fuer die Kommunikation von Diensten innerhalb einer Broadcast-Domain sollen
link-local-Adressen verwendet werden.
Im Hinblick auf IPv6 gibt es in diesem Bereich viele Spezialadressen welche
fuer die verschiedensten Zwecke genutzt werden koennen.
+
In jedem Fall sollte die Erreichbarkeit von Diensten soweit wie moeglich
eingeschraenkt werden.
Auch Tunnel-Techniken wie IPSec und andere VPN-Loesungen koennen verwendet
-werden, um einen Dienst ausschliesslich einem ausgewaehlten Nutzern zugaenglich
+werden, um einen Dienst ausschliesslich ausgewaehlten Nutzern zugaenglich
zu machen.
+Vor allem in Windows-Systemen ist es in der Vergangenheit oft grossen Problemen
+mit Wuermern gekommen, weil verwundbare Dienste ueber das Netzwerk erreichbar
+waren.
+
== Kernel
Beim erstellen einer sicherheitskritischen Anwendung ist nicht nur die
@@ -211,9 +224,6 @@ eine Programmierfehler zu einem Sicherheitsrisiko wird oder nicht.
Im Folgenden werden einige Aspekte des Kernel-Designs auf ihre Sicherheit fuer
das Gesamtsystem betrachtet.
- * interrupt blockierung
- * Treiber Userland(minix) / OpenSource (nvidia)
-
=== Kernel-Architektur
Die meisten Betriebssysteme verwenden ein monolitisches Kernel-Design.