Az OpenBSD egy új funkcióval gyarapodott, ez az úgynevezett "privilégium emelés". A dolog lényege, hogy a rendszerben nincs többé szükség suid vagy sgid binárisokra. Az applikációkat teljesen privilégium nélkül lehet futtatni, és a Systrace végzi el a privilégium emelést egy egyszerű rendszer hívással, amely a konfigurált policy-tól függ. A dolog alapvetően egy új elképzelés.
A dolog kinek másnak a nevéhez fűződne mint Niels Provos? A BSD világban ismerősen cseng az úriember neve.
Niels (egyik) honlapja itt. Systrace ismerető (privilege elevation ismertetéssel együtt) itt.
A dolog nem ismeretlen a Linux világában sem. Marius Aamodt Eriksen (marius@umich.edu), és Niels Provos nekiálltak egy alap Systrace funkciót implemetálni a Linux kernelbe is. A projectről bővebben itt. Szerintem ez egy figyelemre méltó kezdeményezés, amely alapvetően megváltoztathatja a jelenlegi felhasználói privilégiumok kezelésének rendszerét. A dologgal kapcsolatos megbeszélések indultak az LKML-en is.
Jun-ichiro "itojun" Hagino levele:From: Jun-ichiro itojun Hagino (itojun_at_cvs.openbsd.org)
Date: Wed Oct 16 2002 - 10:01:09 CDT
CVSROOT: /cvs
Module name: src
Changes by: itojun@cvs.openbsd.org 2002/10/16 09:01:08
Modified files:
sys/dev : systrace.c systrace.h
bin/systrace : Makefile filter.c intercept.c intercept.h lex.l
openbsd-syscalls.c parse.y systrace.1
systrace.c systrace.h
Log message:
support for privilege elevation.
with privilege elevation no suid or sgid binaries are necessary any longer. Applications can be executed completely
unprivileged. Systrace raises the privileges for a single system call depending on the configured policy.
Idea from discussions with Perry Metzger, Dug Song and Marcus Watts.
from provos