Citazioni per i servizi di rete Least Privilege?

4

Il Principal of Least Privilege suggerisce che i servizi di rete non dovrebbero funzionare con capacità potenti e non necessarie. La storia ci insegna che questo è dolorosamente necessario; 25 anni fa Sendmail e BIND funzionavano come root e si spostavano come utenti non privilegiati per limitare il danno dimostrato da numerosi buffer overflow e altri attacchi. Server di posta alternativi come Postfix e qmail sono stati progettati fondamentalmente per essere eseguiti come utenti non root e il contesto utente di Apache era un elemento su ogni checklist che avessi mai visto per proteggere Apache.

Tuttavia, l'esecuzione di un servizio come root non è una vulnerabilità di per sé ; per citare OWASP ,

The failure to drop system privileges when it is reasonable to do so is not a vulnerability by itself. It does, however, serve to significantly increase the Severity of other vulnerabilities.

Quindi, ad esempio, non c'è OWASP Top Ten che dice "Non eseguire servizi come root". Solo altri problemi (come "Buffer Overflow" 2004-A5) il cui impatto è reso più grave se il servizio viene eseguito come root.

Il che rende difficile convincere il personale non addetto alla sicurezza che si tratta di una brutta cosa.

Quindi la mia domanda:

Puoi indicarmi riferimenti citare da autorità affidabili che possano essere utilizzati per impressionare il personale non addetto alla sicurezza (ad esempio sviluppatori, IT, gestione) dell'importanza di non eseguire servizi con privilegi di root?

    
posta gowenfawr 07.01.2016 - 16:34
fonte

1 risposta

3

Non sei sicuro del tipo di riferimento che stai cercando, ma The Principle of Least Privilege è stato enunciato per la prima volta da Saltzer e Schroeder nel loro articolo del 1974 "The Protection of Information in Computer Systems":

Every program and every user of the system should operate using the least set of privileges necessary to complete the job. Primarily, this principle limits the damage that can result from an accident or error. It also reduces the number of potential interactions among privileged programs to the minimum for correct operation, so that unintentional, unwanted, or improper uses of privilege are less likely to occur. Thus, if a question arises related to misuse of a privilege, the number of programs that must be audited is minimized. Put another way, if a mechanism can provide "firewalls," the principle of least privilege provides a rationale for where to install the firewalls. The military security rule of "need-to-know" is an example of this principle.

(Saltzer, Jerome H. (1974). "Protezione e controllo della condivisione di informazioni in multics". Comunicazioni dell'ACM 17 (7): 389. doi: 10.1145 / 361011.361067. ISSN 0001-0782.)

Il documento completo può essere letto qui.

Questo dovrebbe essere un riferimento abbastanza valido.

    
risposta data 07.01.2016 - 16:56
fonte

Leggi altre domande sui tag