4. Zu wenige Schutzringe in Windows und Linux

Zu wenige Schutzringe in Windows und Linux

  • ?

    Wisst ihr was bei Windows und auch Linux sehr schlecht gelöst ist?

    Das ist die Tatsache, dass es viel zu wenige Schutzstufen gibt, die vollen Zugriff auf den Kernel, die installierten Systemtreiber bzw. Module den Bootloader und das BIOS und UEFI erlauben.

    Wer auch nur mal ein Plugin für Firefox oder irgendein Spiel installieren will,
    der logged sich sowohl bei Windows als auch bei Linux mit dem Adminstrator bzw. Rootpasswort ein und der Schadcode hat Zugriff bis hin auf das BIOS oder UEFI.

    Viel bessere wäre es, wenn man die Installation von normaler Software besser trennen würde.

    Unter Linux könnte man das z.B. so machen, dass für /sbin, /boot, /etc und /lib das root Passwort notwendig ist und für /usr und alles was da drunter ist, sowie /opt ein anderes Passwort bzw. anderer Account mit weniger Rechten als root.
    Damit könnte man die Installation von normaler Software von der von Systemrelevanter Software abtrennen.

    Bei Linux gibt es ansonsten noch die Möglichkeit die Software ins Benuzterverzeichnis zu installieren, dafür reicht das Benuzterpasswort aus,
    aber eine Trennung der Systemrelevanten Software und der, was in /usr liegt, gibt es dadurch trotzdem nicht.

    Kennt ihr irgendein OS für die x86 bzw. x64 Architektur, die mehrere Schutzstufen hat?
    Die x86 CPU ermöglicht im Protected Mode AFAIK ja bis zu 4 Ringe in Hardware.

    0
  • S
    Mod

    Wobei die 4 möglichen x86-Ringe nicht mehr so "leer" sind. Kernel, Virtualisierung, User-Space sind immerhin schon 3 Stufen. Nur noch Ring 2 ist afaik ungenutzt.

    MfG SideWinder

    0
  • S

    1 und 2 sind leer. Hypervisor läuft in -1, Kernel in 0, Userspace in 3. Aber das hat nichts mit den angesprochenen Abstufungen im Dateisystem zu tun.

    0

  • Wenig Sicherheit schrieb:

    Bei Linux gibt es ansonsten noch die Möglichkeit die Software ins Benuzterverzeichnis zu installieren, dafür reicht das Benuzterpasswort aus,

    Gibt's unter Windows genau so.

    0
  • ?

    hustbaer schrieb:

    Wenig Sicherheit schrieb:

    Bei Linux gibt es ansonsten noch die Möglichkeit die Software ins Benuzterverzeichnis zu installieren, dafür reicht das Benuzterpasswort aus,

    Gibt's unter Windows genau so.

    Stimmt, hast recht. Das übersehe ich immer, weil fast alles zuerst als Installationsprogramm daherkommt und das braucht Adminrechte.
    Wenn's nur ein zip Archiv ist, dann ist es ein leichtes das Programm auch einfach mit Benutzerrechten auszuführen, sofern es sich um ein Programm handelt, das keine Systemprivilegien benötigt, aber das gilt auch für Linux.

    0

  • Wenig Sicherheit schrieb:

    hustbaer schrieb:

    Wenig Sicherheit schrieb:

    Bei Linux gibt es ansonsten noch die Möglichkeit die Software ins Benuzterverzeichnis zu installieren, dafür reicht das Benuzterpasswort aus,

    Gibt's unter Windows genau so.

    Stimmt, hast recht. Das übersehe ich immer, weil fast alles zuerst als Installationsprogramm daherkommt und das braucht Adminrechte.

    Chrome sowie Windows Store Apps wären Beispiele für Software, die sich standardmäßig ins Benutzerverzeichnis installiert... 😉

    0
  • ?

    Schutzringe klingt so nach Esoterik.

    0
  • ?

    heiliger schrieb:

    Schutzringe klingt so nach Esoterik.

    http://de.wikipedia.org/wiki/Ring_(CPU)

    0

  • Wenig Sicherheit schrieb:

    hustbaer schrieb:

    Wenig Sicherheit schrieb:

    Bei Linux gibt es ansonsten noch die Möglichkeit die Software ins Benuzterverzeichnis zu installieren, dafür reicht das Benuzterpasswort aus,

    Gibt's unter Windows genau so.

    Stimmt, hast recht. Das übersehe ich immer, weil fast alles zuerst als Installationsprogramm daherkommt und das braucht Adminrechte.
    Wenn's nur ein zip Archiv ist, dann ist es ein leichtes das Programm auch einfach mit Benutzerrechten auszuführen, sofern es sich um ein Programm handelt, das keine Systemprivilegien benötigt, aber das gilt auch für Linux.

    Es gibt auch Programme die nen Installer haben der ohne Adminrechte läuft und ins Userverzeichnis installiert.
    Chrome z.B.
    EDIT: Ah, wurde ja schon geschrieben... übersehen.

    0
  • ?

    Du verwechselst da was.

    Superuser != Kernelmode

    Nur weil ein Prozess mit root Rechten läuft, heißt das nicht, dass er auf der CPU im Kernel Mode läuft.

    0
  • ?

    hfghfghf schrieb:

    Du verwechselst da was.

    Superuser != Kernelmode

    Nur weil ein Prozess mit root Rechten läuft, heißt das nicht, dass er auf der CPU im Kernel Mode läuft.

    Man hat trotzdem vollen Zugriff auf das ganze System.
    Wer Treibermodule ändern und laden kann, der hat das immer.

    0
Anmelden zum Antworten