summaryrefslogtreecommitdiff
path: root/document.asciidoc
diff options
context:
space:
mode:
authorJan Klemkow <j.klemkow@wemelug.de>2013-01-09 13:50:57 +0100
committerJan Klemkow <j.klemkow@wemelug.de>2013-01-09 13:50:57 +0100
commitf7151c56e0fda816776e31ee5e9eef3fc070333b (patch)
tree64d1717453cb8f19002afab6869327d8d660b60d /document.asciidoc
parent025f4cf85087c92e2beefbd117aa8be5775ff88a (diff)
downloadsksys-f7151c56e0fda816776e31ee5e9eef3fc070333b.tar.gz
sksys-f7151c56e0fda816776e31ee5e9eef3fc070333b.tar.bz2
sksys-f7151c56e0fda816776e31ee5e9eef3fc070333b.zip
Add images.
Diffstat (limited to 'document.asciidoc')
-rw-r--r--document.asciidoc14
1 files changed, 9 insertions, 5 deletions
diff --git a/document.asciidoc b/document.asciidoc
index 5c9fc0b..4f17c0a 100644
--- a/document.asciidoc
+++ b/document.asciidoc
@@ -23,7 +23,7 @@ sondern auch um die Sicherheit des Gesamtsystems geht.
Systemdienste werden in vielen Fällen mit höheren Rechten ausgeführt.
Gelingt es einem Angreifer einen solchen Dienst zu übernehmen, so erlangt er
selbst höhere Rechte auf dem Zielsystem.
-Bei Endanwendungen ist es in der Regel nicht der Fall, dass sie mit höhren
+Bei Endanwendungen ist es in der Regel nicht der Fall, dass sie mit höheren
Rechten ausgeführt werden, sodass der Angreifer, bei einem erfolgreichen
Angriff, nur Teile des Zielsystems unter seine Kontrolle bringen kann.
Jene, welche mit den Rechten der Anwendung steuerbar sind.
@@ -181,6 +181,8 @@ Dieser ist die Grundlage für den erwähnten Mechanismus.
Es startet anschließend ``weston'' mit eingeschränkten Rechten (Nutzer-Rechte)
und übergibt beim Start den Deskriptor für den Kommunikationskanal.
+image::wayland-priv-sep.svg[width="75%"]
+
Wenn nun zur Laufzeit ``weston'' ein Eingabe-Hotplug-Ereignis erhält
und das Gerät öffnen möchte, so nutzt ``weston'' nicht -- wie andere
Programme -- +open(2)+, denn um das Gerät direkt zu Öffnen fehlen die Rechte.
@@ -277,9 +279,9 @@ Auch Tunneltechniken wie IPSec und andere VPN-Loesungen koennen verwendet
werden, um einen Dienst ausschliesslich ausgewaehlten Nutzern zugaenglich
zu machen.
-Vor allem in Windows-Systemen ist es in der Vergangenheit oft zu großen Problemen
-mit Würmern gekommen, weil verwundbare Dienste über das Netzwerk erreichbar
-waren.
+Vor allem in Windows-Systemen ist es in der Vergangenheit oft zu großen
+Problemen mit Würmern gekommen, weil verwundbare Dienste über das Netzwerk
+erreichbar waren.
== Kernel
@@ -300,6 +302,8 @@ In diesem werden viele Aufgaben des Betriebssystems im Kernel erledigt.
Das bedeutet, dass der Programm-Code mit sehr hohen Berechtigungen
ausgeführt wird.
+image::kernel-design.svg[width="100%"]
+
Ein Großteil dieser Aufgaben -- wie zum Beispiel die Gerätetreiber --
koennten auch von User-Prozessen übernommen werden.
Dies hat den Vorteil, dass Schutzfunktionen des Prozessors genutzt werden.
@@ -334,7 +338,7 @@ der das Netzwerkmodul enthaelt.
Somit muss an dieser Stelle Performanz und Sicherheit abwogen werden und für
den konkreten Einzelfall, sich für das wichtigere entschieden werden.
-image::kernel-context-sw.svg[]
+image::kernel-context-sw.svg[width="100%"]
=== Kernel-Programmierung