Ασφάλεια Η/Υ οταν τρέχουμε Folding@Home και άλλα συναφή?

[dhatz]

Πως ακριβώς έχετε ρυθμίσει το τρέξιμο των σχετικών εφαρμογών, ώστε να επιτυγχάνεται η καλύτερη ασφάλεια?

Π.χ. εγω στο Linux, εχω δημιουργήσει αυτόνομο account, το "folding", στο δικό του group. Αυτο εξ ορισμου εχει write permissions ΜΟΝΟ στο δικό του home directory π.χ. /home/folding και ότι υπάρχει από κάτω, π.χ. /home/folding/work (που το φτιαχνει μονο του για να "ριχνει" εκει τα αρχεια που κατεβάζει.

Το FAH504-Linux.exe το ξεκινώ απο τον cron, με εντολή τυπου
@reboot sleep 30; ~/run_folding

οπου run_folding στο σκριπτάκι που το καλεί.

Ετσι, ακομα κι αν π.χ. στραβωσει εντελως το πραγμα και περάσει μέσω του Stanford καποιο προβληματικό executable (δηλ. στην απιθανη περιπτωση που καποιος χακερίσει τον server τους εκεί, ωστε να "μολύνει" στη συνέχεια τους 200.000 Η/Υ που τρέχουν οτιδηποτε τους στέλνει), δεν θα καταφέρει τίποτε στο συγκεκριμένο Linux.

Αυτο ειναι το κλασσικο setup για καθε αναλογη εφαρμογή στο Linux/Unix. Ωστε είτε ΑΘΕΛΑ είτε ΗΘΕΛΗΜΕΝΑ να μην μπορεί κανενας χρηστης καμμια εφαρμογή να κάνει ζημιά σε άλλους ή στο σύστημα, παρα μονο σε οτι υπάρχει στο ΔΙΚΟ της directory.

Ερώτημα: Πως μπορώ να πετύχω την ίδια ασφάλεια που περιέγραψα στο WinXP?

YΓ: Έγραψα χτες σχετικά με επιλογή projects δηλ πληροφορίες για τα υπολοιπα (Rosetta, FightAIDS κλπ) αν κάποιος που κατέχει το άθλημα τα έχει αξιολογήσει, ας μας πει και που αλλου να "δώσουμε".

[anon]

Καλός. Υπόψη ότι το crontab ή θα είναι του χρήστη, ή εαν το τρέχεις απο το crontab του συστήματος θα πρέπει να δώσεις εντολή της μορφής
su - folding -c "/home/folding/run_folding"

Στα Windows θα κάνεις έναν local user πχ με το όνομα folding ο οποίος θα είναι απλός user ή restricted user. Ομοίως θα κάνεις ένα folder που θα ανήκει ή θα έχει δικαιώματα ο χρήστης αυτός πχ c:\folding και θα το στήσεις με κονσόλα σαν service. Απο τα services manager μπορείς να ορίσεις ως τι user θα τρέχει το συγκεκριμένο service μέσα απο τις ιδιότητες -> LogOn

[dhatz]

1/ Ναι, το βάζω στο crontab του ίδιου του χρήστη. Η άλλη λύση ειναι στο crontab του root, οπως ακριβως το γράφεις.

2/ Για το WinXP... (αλλαγη εδω) αν ο χρήστης "folding" ειναι Limited, θα περιορίζεται η προσβαση του οπως στο Unix? 'Η θα μπορει π.χ. να γραψει κι αλλου?

[mrsaccess]

Στα windows υπάρχει η εντολή runas.
Είναι το αντίστοιχο του su στο unix.

Λογικά θα μπορείς να τη χρησιμοποιήσεις ακόμα και σε service.

[dhatz]

Αυτο που εγραψα στους developers του software (βασικα στο BOINC, αλλα και το folding ειναι το ιδιο) ειναι αν μπορουσαν να το κανουν χρηση της chroot() και να τελειωσουμε, οποτε δεν θα μας απασχολουσε το θεμα.

mrsaccess, οπως το καταλαβαινω δεν βλεπω που θα χρειαστει η runas, εφοσον θα το τρεξω σαν service και θα του πω εγω σαν ποιο χρηστη να το τρεξει το fah.exe.

Μηπως εννοεις οταν το τρεχουμε απο το command-line του WinXP, δηλαδη να βαλουμε στο shortcut

runas folding c:\folding1\FAH504.exe -local -forceasm κλπ...

(η καπως ετσι, δεν ξερω πως συντασσεται η εντολη και με τα Windows προσπαθω να ειμαστε μακρια κι αγαπημένοι :-) )

[mrsaccess]

Επομένως ποιο είναι το πρόβλημά σου;
Είναι πολύ απλό!

»Φτιάχνεις από το Control Panel ένα νέο και απλό χρήστη.
»Ενεργοποιείς το advanced file sharing. Ένα κλικ είναι!
»Δεξί κλικ στο φάκελλο του folding, properties και αφήνεις τον απλό χρήστη που έφτιαξες να τον διαβαζογράφει!
»Στο service λες να τρέχει το folding με τα δικαιώματα του απλού χρήστη!

Ούτε εγώ ασχολούμαι πλέον με win και σου λέω ότι θυμάμαι. Ακριβή μενού και τα σχετικά δεν τα θυμάμαι!

[NoYmErOs]

Δεν βλέπω το λόγο να μπούμε σε τέτοια διαδικασία και εκτός το ότι τρομάζουν οι νέοι χρήστες που χρησιμοποιούν το συγκεκριμένο project...

Η ασφάλεια είναι κάτι σχετικό.. ότι και να κάνεις αν μπεις στο μάτι του χάκερ και με το περιορισμένο χρήστη υπάρχει τρόπος να σου στείλουν κάτι περίεργο αν και μετά από τόσο καιρό δεν ακούστηκε κάτι περίεργο...

[anon]

Στα windows υπάρχει η εντολή runas.
Είναι το αντίστοιχο του su στο unix.

Λογικά θα μπορείς να τη χρησιμοποιήσεις ακόμα και σε service.

H runas ζητά interactively το password του user

Εαν θέλεις να μην ζητά το password (να το έχει ενσωματωμένο encrypted)
υπάρχει lsrunas και η πιο βελτιομένη έκδοση supercrypt
Υπάρχουν στον γούγλη

[fon]

Δεν βλέπω το λόγο να μπούμε σε τέτοια διαδικασία και εκτός το ότι τρομάζουν οι νέους χρήστες που χρησιμοποιούν το συγκεκριμένο project...

Η ασφάλεια είναι κάτι σχετικό.. ότι και να κάνεις αν μπεις στο μάτι του χάκερ και με το περιορισμένο χρήστη υπάρχει τρόπος να σου στείλουν κάτι περίεργο αν και μετά από τόσο καιρό δεν ακούστηκε κάτι περίεργο...

clap

...Αντε γιατί οι υπόλοιποι "τρομοκρατούν" τον κόσμο....

Αυτή η παράνοια με την ασφάλεια βγάζει κάτι νόμους-μπουμπούκια...

[dhatz]

Better safe than sorry, ή οπως λέμε στα ελληνικά, κάλλιο γαϊδουρόδενε παρά γαϊδουρογύρευε.

Σοβαρά τώρα, επειδή στα δικά μου P4 τρέχω και "σοβαρές" εφαρμογές, δεν μπορώ να το διακιινδυνέψω. Το ίδιο φαντάζομαι και όσοι τα τρέχουν σε μηχανήματα της δουλειάς.

ΥΓ: Εκανα πρόσφατα μια απόπειρα να ενημερώσω περισσότερους, ειδικά τα συμβατικά ΜΜΕ και την ελληνική blog-όσφαιρα, γράφοντας άρθρο σχετικό με το Folding στο http://dhatz.blogspot.com/2006/01/foldinghome.html αλλά πρέπει να ομολογήσω ότι το ενδιαφέρον ήταν πολύ χαμηλότερο σε σχέση με άλλα αρθρα που έστειλα τον τελευταίο χρόνο.

[NoYmErOs]

Better safe than sorry, ή οπως λέμε στα ελληνικά, κάλλιο γαϊδουρόδενε παρά γαϊδουρογύρευε.

Σοβαρά τώρα, επειδή στα δικά μου P4 τρέχω και "σοβαρές" εφαρμογές, δεν μπορώ να το διακιινδυνέψω. Το ίδιο φαντάζομαι και όσοι τα τρέχουν σε μηχανήματα της δουλειάς.

ΥΓ: Εκανα πρόσφατα μια απόπειρα να ενημερώσω περισσότερους, ειδικά τα συμβατικά ΜΜΕ και την ελληνική blog-όσφαιρα, γράφοντας άρθρο σχετικό με το Folding στο http://dhatz.blogspot.com/2006/01/foldinghome.html αλλά πρέπει να ομολογήσω ότι το ενδιαφέρον ήταν πολύ χαμηλότερο σε σχέση με άλλα αρθρα που έστειλα τον τελευταίο χρόνο.

φυσικά θα είναι μικρό το ενδιαφέρον...

You don't have permission to access http://dhatz.blogspot.com/2006/01/foldinghome.html on this server.

[mrsaccess]

Εγώ μια χαρά το βλέπω πάντως!

[dhatz]

Το Blogger / blogspot είναι (πλεον) θυγατρική της Google, αλλά απ'οτι εχω διαπιστώσει έχει ακόμα αρκετά προβλήματα, οπως το προβλημα προσβασης καποιες στιγμές μέσα στην ημέρα.

ΥΓ: Συμπλήρωσα αρκετά στοιχεία στο αγγλικό http://www.hyper.net/dc-howto.html, για όποιον ενδιαφέρεται για τις λεπτομέρειες του αθλήματος (ουτε κι εγω τα ήξερα, αλλά τα έψαξα τις 2 τελευταίες βδομάδες). Δινω επισης τις δικές μου επιλογές projects.

[dhatz]

για να δειτε τι εννοώ, πάρτε παράδειγμα το project Predictor http://predictor.scripps.edu/ (είτε βλ. λιστα των projects στο http://boinc.berkeley.edu/ και κάντε κλικ εκει που λέει predictor).

Απο χτες σε κάνει redirect σε κάποιο άλλο Website (κάνουν 302 http redirect). Θεωρητικά αυτος που το εκανε θα μπορούσε να στήσει BOINC, να βάλει στα σχετικά URLs του project κάποια δικά του executables και να δημιουργηθεί μεγα προβλημα στα 90.000 PCs που ειναι αποκάτω...

Διορθώνω: Λοιπόν, κατόπιν ψαξίματος 1+ ωρας, διαπίστωσα οτι υπάρχει σε εξέλιξη DNS spoofing / poisoning για το predictor@home και μάλιστα αρκετά σύνθετο, γιατί ενας απο τους DNS servers που χρησιμοποιώ, εδωσε λάθος data.