私の質問は、ファイルシステムの権限(具体的には Unix スタイルの権限)とそれがセキュリティとどのように関係するかについてです。
たとえば、ゲスト ユーザー アカウントと Bob という名前のユーザーでコンピューターにアクセスできるとします。Bob のパスワードはわかりませんが、ゲスト アカウントは使用できます。ゲスト アカウントには Bob のすべてのファイルに対する読み取り権限がまったくないため、ゲストとしてログインしている間は Bob のファイルをまったく読み取ることができません。
しかし、本当の「敵」の観点から見ると、私はこの暗号化されていないディスクに完全にアクセスできます。それをイメージ化し、後で使用するために保存し、他の OS を実行して、ファイルシステムのアクセス許可設定を無視して Bob のファイルを読み取ることができます。
このことから、私は次のような疑問を抱きます。
- 暗号化されていないディスク上のファイルシステムの権限設定は単なるフラグで、正しいですか? 権限のないファイルを読み取れない唯一の理由は、OS が「ああ、それは読み取れません。権限がありません」と言うことです。そのファイルは未加工の形式でディスク上に残っているので、ファイルシステムのフラグを無視するだけで読み取ることができます (たとえば、権限を無視する怪しげな起動可能な OS など)。これですべて正しいですか?
さて、私はディスクに直接アクセスできず、マシンに ssh で接続しているだけだとします。Bob のファイルを読み取る権限はありません。これについて私にできることは本当に何もないですよね?
- 私の権限が制限されているため、どれだけ頑張ってもボブのファイルにアクセスすることはできません。 何らかのエクスプロイトを使用してルート アクセスを取得した場合はどうなりますか? OS の権限フラグをバイパスできますか? このようなことは実際に起こることでしょうか?
答え1
より短い答え。
コンピュータ システム (PC またはデータ ストレージ システム) に物理的にアクセスでき、唯一の「保護」がファイル権限である場合、100% 保護されません。
暗号化されていないデータは、システム ドライブに接続してデータのコピーを作成できる別のデバイス以外のツールをほとんど使用せずに、最小限の労力でコピーおよび複製できます。
はい、潜在的に物理的な侵入の証拠となる側面のいくつかは、物理的なレベルでのアクセスに考慮する必要があるかもしれません。たとえば、指紋が残らないようにすることや、「改ざん防止」シールも処理することなどです。しかし、正直なところ、世の中にあるシステムの大半は、エンド ユーザーが気付かないうちにドライブを物理的に取り外してデータの物理コピーを取得することができます。ドライブがあれば、ドライブがあり、暗号化されていなければデータも手に入ります。
このため、ユーザーごとの暗号化やディスク全体の暗号化は今日では重要なものとなっています。ラップトップやその他のポータブル コンピューティング デバイスは今日では市場の大きな部分を占めており、デバイスの盗難や PC の不用意な借用によるデータ損失のリスクは、これまでよりもはるかに高くなっています。
ディスクが暗号化されていない場合、そのディスク上のデータは開かれた本であり、いつでも読むことができます。この概念は Linux/Unix マシンに限定されず、あらゆる OS で適用されます。暗号化されていないシステムに物理的にアクセスできる場合は、そのシステムを持っていることになります。
とはいえ、ファイルの権限はあらゆる種類のリモート サーバーに役立つセキュリティ対策です。
より長い答え。
私の質問は、ファイルシステムの権限(具体的には Unix スタイルの権限)とそれがセキュリティとどのように関係するかについてです。
まず、コンピューターやあらゆるもののセキュリティは、実際には物事を遅くする抑止力に過ぎず、必ずしも絶対的なセキュリティを提供するものではないことを覚えておいてください。
例えば、物理的な建物のセキュリティで最も弱い部分は、出入り時に開けなければならないドアや、空気を入れるために開けなければならない窓です。ドアや窓をロックしたり、アラームをセットしたりすることはできますが、もし誰かが本当に望む何かにアクセスでき、それを追求するための時間、リソース、富、努力があれば、彼らはそれにアクセスできるようになります。
たとえば、ゲスト ユーザー アカウントと Bob という名前のユーザーでコンピューターにアクセスできるとします。Bob のパスワードはわかりませんが、ゲスト アカウントは使用できます。ゲスト アカウントには Bob のすべてのファイルに対する読み取り権限がまったくないため、ゲストとしてログインしている間は Bob のファイルをまったく読み取ることができません。
ここで問題となるのはアクセスのコンテキストです。物理的アクセスコンピューターに、ほぼ何でも可能です。しかし、何らかのネットワークを介してリモート接続のみで接続している場合は、ファイルシステムの所有権は絶対に効果的なセキュリティ方法です。Linux/Unix サーバーの場合、権限と所有権はリモート侵入を阻止するための効果的なセキュリティ形式です。
そのため、Linux/Unix の世界では、rootリモート システムへのアクセスは大きな成果とみなされます。rootリモート システムにアクセスできれば、データ センターに出向いてドライブをクローンする必要なく、より広範なアクセスが可能になります。
しかし、本当の「敵」の観点から見ると、私はこの暗号化されていないディスクに完全にアクセスできます。それをイメージ化し、後で使用するために保存し、他の OS を実行して、ファイルシステムのアクセス許可設定を無視して Bob のファイルを読み取ることができます。
はい、その通りです。マシンに物理的にアクセスできる場合は、冒頭で説明したように、すべてが不可能になります。ディスクのイメージを作成するか、ドライブ自体の生のコンテンツを追跡するだけで、高度な技術的努力をほとんどまたはまったく必要とせずに、他の人が所有するファイルやディレクトリにアクセスできます。
たとえば、このようなシナリオを考えずに自分のパソコンを貸し、あなただけのために新しいアカウントを設定する人は、基本的に、知らないうちに自分のパソコンに保存されている個人データをすべて漏らしていることになります。
少し話がそれますが、これが、多くの一般ユーザーがドライブ上のデータを消去する努力を一切せずに古い PC を寄付する理由だと思います。ユーザー パスワードを設定し、ドライブをゴミ箱に捨てても何も考えずに済む程度にデータが保護されていると想定しています。しかし、実際には、真の暗号化やデータ消去がなければ、ゴミ箱に捨てられたり、中古で販売されたドライブは、大した手間や高度な技術的努力をすることなく、誰でもどこでも読み取ることができます。
答え2
あなたの3つのポイント:
通常のユーザーとして SSH で接続する場合、raw ディスク デバイスにアクセスすることはできません。通常、
rootraw ディスク デバイスと論理ディスク デバイスにアクセスするには権限が必要です。あなたが取得する場合根エクスプロイトを通じて、あなたはシステム上で最も強力なユーザーとなり、デバイスを含むほとんどすべてのものにアクセスできます。あなたはルートなので、ボブのファイルに直接アクセスできるため、ディスク デバイスにアクセスする必要はありません。
物理アクセスの方が優れています
root。ルートは論理レイヤーです。ディスクへの物理アクセスでは無視できます。これには、ルートである別の OS にディスクをロードすることも含まれます。
もちろん、システムはrootエクスプロイトに対して強化されているはずですが、新しいエクスプロイトは毎日のように登場します。100% 安全なシステムはありませんが、アクセスを制限することで実用的な安全対策を講じることができます。
ファイル システムのアクセス許可は、OS が侵害されない、制限されたユーザー アクセス状況でのみ機能することが想定されています。これは、自転車のロックのような「正直な (そして典型的な) ユーザーを正直に保つ」システムです。完全な安全策よりも、「機会犯罪」を防ぐために機能します。