Krautkanal.com

Veröffentlicht am 2014-12-30 21:09:31 in /prog/

/prog/ 6281: "root" als Alleinherrscher - manche Config-Entscheidungen nur mit anderen zusammen ermöglichen

danro Avatar
danro:#6281

Tag zusammen,

kann man eigentlich ein Betriebssystem so einrichten, dass manche Entscheidungen nur so durchgesetzt werden können, wenn mehrere Admins zustimmen? Bei Routern könnte das zum Beispiel sinnvoll sein: Da geb es mal vor Jahren einen Zwischenfall, bei dem ein Stadtnetz mit einem Passwort gesichert war, das nur eine Person kannte.

Fallen euch noch irgendwelche Dinge ein, die man ändern sollte/könnte?

Ich werbe an der Stelle mal für die BSD-Lizenz: Da braucht man sich dann nicht wegen Ideologien gegenseitig Zeit und Nerven rauben. Hauptargument war damals wohl, dass ein Fremder mit der eigenen Arbeit Geld machen könnte. In Deutschland gibt es ein Produkthaftungsgesetz: Um weitgehend sicher zu gehen, müsste vor dem Verkauf der komplette Quellcode auf Fehler untersucht werden, wenn ich das richtig sehe.

ggavrilo Avatar
ggavrilo:#6282

Ein Imkereiausweis könnte noch eine Idee sein - als Imker hat man in Deutschland laut BGB spezielle Rechte. Mit kontaktbehafteten Chipkarten, darauf der Fingerabdruck mit Verschlüsselungschip (so dass der Fingerabdruck nicht mitgeteilt werden muss), etc.

Dazu evtl eine allgemeinere API, so dass das auch anderweitig nutzbar ist.

arashmanteghi Avatar
arashmanteghi:#6283

>kann man eigentlich ein Betriebssystem so einrichten, dass manche Entscheidungen nur so durchgesetzt werden können, wenn mehrere Admins zustimmen?
Komischer Satz. Klar geht das, warum denn nicht?
Natürlich will das niemand weil Demokratie stinkt. Dein Beispielproblem würde es auch nicht lösen.

>Ich werbe an der Stelle mal für die BSD-Lizenz: Da braucht man sich dann nicht wegen Ideologien gegenseitig Zeit und Nerven rauben.
Oh die Ironie...

3/10

rawdiggie Avatar
rawdiggie:#6285

>Demokratisches OS

Da ist dann leider nichts mehr mit "mal eben was fixen".

>Ich werbe an der Stelle mal für die BSD-Lizenz

WTFPL oder geh weg.

oaktreemedia Avatar
oaktreemedia:#6286

RFID in Pistolenkugeln, etc dürfte auch 'ne Idee sein. Angeblich haben die in Schiffsartillerie GPS, da dürfte sowas auch machbar sein.

sgaurav_baghel Avatar
sgaurav_baghel:#6289

>>6286
Was hat du geraucht?

davidbaldie Avatar
davidbaldie:#6290

sudo kennste?

marrimo Avatar
marrimo:#6294

>>6282
>laut BGB spezielle Rechte
Da war ein Interpretationsfehler drin: Man darf dann über einen Zaun klettern. Den impliziten Willen, dass da keiner her geht, kann man dann zwar unterstellen, aber seine Bienen wiederzubekommen ist wichtiger. Ich glaub §926 BGB ist das.

sawalazar Avatar
sawalazar:#6295

>>6290
Gemeint war, dass mehrere zustimmen sollten, bevor was gemacht wird. Ist allerdings eine anforderung, die fast nie notwendig ist. "Funktioniert, ist sicher so, also nicht anfassen" versehentlich Denkfehler einzubauen ist kann immer passieren. Also ist bei manchen Dingen vorsicht wichtig. Testsystem, mit Pen-Test, etc. Solange keiner soweit geht, über die GraKa und den PCI-Bus den Rechner zu übernehmen. Ich hab aber keine Ahnung ob das ginge. Will ich auch nicht rausfinden.

antonyryndya Avatar
antonyryndya:#6296

Außer bei Raktenenabschussanlagen in Filmen aus den 80ern will niemand so ein System haben.

oanacr Avatar
oanacr:#6303

>>6295
> Solange keiner soweit geht, über die GraKa und den PCI-Bus den Rechner zu übernehmen. Ich hab aber keine Ahnung ob das ginge.

http://en.wikipedia.org/wiki/DMA_attack

t1mmen Avatar
t1mmen:#6320

>kann man eigentlich ein Betriebssystem so einrichten, dass manche Entscheidungen nur so durchgesetzt werden können, wenn mehrere Admins zustimmen?

Simple Lösung:
Mehrere Personen kennen jeweils nur einen Teil des Passworts, es müssen also alle den ihnen bekannten Teil des Passworts eingeben, damit irgendwas gemacht werden kann.

Wurde bei mir in der Firma für ein paar kritische Systeme so gemacht.

mrzero158 Avatar
mrzero158:#6324

>>6320
Wittere epische Trollageoptionen.
Nein, DU hast deinen Teil falsch geschrieben!

posterjob Avatar
posterjob:#6325

>>6320
Einfach aber genial. Oder wenn es ein bisschen weniger frickelig sein soll, zwei pam-Module hintereinanderschalten die beide jeweils ihr eigenes Passwort wollen. Dann kann man auch 2 aus 3 machen.