Separazione dei privilegi sui processi padre / figlio sui sistemi UNIX?

3

Stavo scorrendo un documento di ricerca di Google relativo alla separazione dei privilegi e mi sono sentito perso durante la lettura di questo:

In Unix, every process runs within its own protection domain, i.e., the operating system protects the address space of a process from manipulation and control by unrelated users. Using this feature, we accomplish privilege separation by spawning unprivileged children from a privileged parent. To execute privileged operations, an unprivileged child asks its privileged parent to execute the operation on behalf of the child. An adversary who gains control over the child is confined in its protection domain and does not gain control over the parent.

Non riesco a capire come sia possibile. Se le istruzioni vengono eseguite dal genitore per conto del figlio interessato, perché un utente malintenzionato che accede al processo figlio non può manipolare il processo padre per eseguire istruzioni privilegiate, ancora per conto del processo figlio?

    
posta Shruikan 02.06.2015 - 17:33
fonte

1 risposta

2

In un'implementazione tipica, il bambino può solo chiedere al genitore di eseguire specifiche operazioni predeterminate. Non ha una mano completamente libera.

Quindi, ad esempio, il genitore potrebbe avere il potere di eliminare qualsiasi file, ma accetterà solo le richieste di eliminazione di file in una radice specifica.

    
risposta data 03.06.2015 - 10:55
fonte

Leggi altre domande sui tag