From 159557f82826d38a7f772e028942a9ab3f1be6a1 Mon Sep 17 00:00:00 2001 From: Jan Klemkow Date: Mon, 7 Jan 2013 14:39:31 +0100 Subject: Add Text for IPC connectivity. --- document.asciidoc | 34 ++++++++++++++++++++++------------ 1 file changed, 22 insertions(+), 12 deletions(-) diff --git a/document.asciidoc b/document.asciidoc index 97daa01..7819f8a 100644 --- a/document.asciidoc +++ b/document.asciidoc @@ -136,8 +136,6 @@ Zur Laufzeit werden diese hoeheren Rechte dann nicht mehr benoetigt. Somit sollten diesen Prozesse nach ihrer Initialisierung diese Rechte wieder abgeben und mit normalen Benutzer-Rechen weiter laufen. - - === Service-Seperation Da auf einem Computer zumeist mehr als nur ein Dienst laeuft, welcher mit einem @@ -182,23 +180,38 @@ Unter vielen Unix-Systemen wird dieser speziell fuer diese Aufgabe verwendet. Sollte ein Dienst nur fuer einen bestimmten Kreis von Nutzern bestimmt sein, dann sollte man die Erreichbarkeit des Dienstes auf diesen Kreis beschraenken. -Systemdienste muessen nur in seltenen Faellen eine Weltweite Erreichbarkeit +Systemdienste muessen nur in wenigen Faellen eine weltweite Erreichbarkeit haben. -Kommunikation innerhalb eines Hosts sollen immer ueber das Loopback-Interface -gefuehrt werden. -Vor allem in Windows-Systemen ist es in der Vergangenheit oft grossen Problemen -mit Wuermern gekommen, weil verwundbare Dienste ueber das Netzwerk erreichbar -waren. +Ein Systemdienst, welcher mit hoeheren Rechten laeuft und global ueber +Netzwerk erreichbar ist, ist immer eine enormes Sicherheitsrisiko fuer das +Gesamtsystem. +Bevor man sich bei der Entwicklung eines Systemdienstes fuer einen bestimmten +Kommunikationsweg entscheidet, muss man sich bewusst sein, wer mit wem +kommuniziert und wo sich die Kommumikationspartner befinden. +Kommunikation innerhalb eines Hosts sollen ueber das Loopback-Interface +oder UNIX-Domain-Sockets gefuehrt werden. +Ein Dienst welcher ueber das Loopback-Interface kommuniziert, kann von jedem +Prozess erreicht werden, welcher einen Netzwerk-Socket oeffnen kann. +UNIX-Domain-Sockets sind an Dateien gebundene Verbindungen. +Dadurch laesst sich ueber die systeminterne Benutzer- und Rechteverwaltung +der Zugriff auf die Verbindung steuern. +Wird doch eine Netzwerkkommunikation benoetigt, kann ueber die geeignet Wahl +der IP-Adresse die Erreichbarkeit kontrolliert werden. Fuer die Kommunikation von Diensten innerhalb einer Broadcast-Domain sollen link-local-Adressen verwendet werden. Im Hinblick auf IPv6 gibt es in diesem Bereich viele Spezialadressen welche fuer die verschiedensten Zwecke genutzt werden koennen. + In jedem Fall sollte die Erreichbarkeit von Diensten soweit wie moeglich eingeschraenkt werden. Auch Tunnel-Techniken wie IPSec und andere VPN-Loesungen koennen verwendet -werden, um einen Dienst ausschliesslich einem ausgewaehlten Nutzern zugaenglich +werden, um einen Dienst ausschliesslich ausgewaehlten Nutzern zugaenglich zu machen. +Vor allem in Windows-Systemen ist es in der Vergangenheit oft grossen Problemen +mit Wuermern gekommen, weil verwundbare Dienste ueber das Netzwerk erreichbar +waren. + == Kernel Beim erstellen einer sicherheitskritischen Anwendung ist nicht nur die @@ -211,9 +224,6 @@ eine Programmierfehler zu einem Sicherheitsrisiko wird oder nicht. Im Folgenden werden einige Aspekte des Kernel-Designs auf ihre Sicherheit fuer das Gesamtsystem betrachtet. - * interrupt blockierung - * Treiber Userland(minix) / OpenSource (nvidia) - === Kernel-Architektur Die meisten Betriebssysteme verwenden ein monolitisches Kernel-Design. -- cgit