如何确保程序的配置文件的安全?..

lunight

如题,最近要在BSD里写一个服务程序,其他的还好说,就是如何保证配置文件还没定. 本来是想用 ACL保证只有特定的服务帐号才能对配置文件进行操作,但是ACL不能防止root用户访问...所以必须用别的方法了

又想了几个,但都有点问题:
1 . 改写系统调用open ,使得只有特定的服务系统管理程序才能访问配置文件,但问题是如何确定调用者的身份和权限?
2 .又想新设一个系统调用config_open专门来打开配置文件,而正常的open则被屏蔽了对这些文件的功能,但是这种方法不能防止攻击者进行2进制反编译,被查出来用了新系统调用之后一样没有安全可言...

没着了...请各位老大帮着想象怎么才能保证我的配置文件只有我服务系统的管理程序才能进行配置?

flw2

避免root访问？

安全是防止别人读？

flw2

换机器跑

lunight

我的意思是防止任何人试图更改我的配置文件,只有通过系统管理程序才能修改或者删除

Edengundam

unix下superuser最大...root应该被严格限制.
我觉得还是给config加密吧, 或者计算校验和吧.
从修改OS出发很忌讳, 工程量大不说...应用还要重新编译内核.....这样应用根本没有推广的可能

sithui

加密

lunight

加密不能保证文件不被修改或者删除啊

现在这个程序是以内核模块的形式实现,开机时加载,不能被卸载;程序本身也修改了系统,在vfs层增加了几个接口,所以不在乎继续对系统有什么改动了,现在的目标就是想找到一种方法使我的配置文件只有我的管理程序能配置,其他用户和程序没有任何访问权限,不知道这一点应该怎么做到啊?

namei

原帖由 sithui 于 2/10/2007 17:04 发表
加密

同意此人意见

flw2

要不你在open判断权限的时候如果第一个参数是你的文件则检查一些你第二个参数,检查一个不可能的值,这个值在你的程序中传递过来.

mingyanguo

如果你的程序能通过syscall1修改文件，其他的程序为什么不能呢？
1.只允许特定的PID修改，或者特定标识的进程修改。
2.这个文件在文件系统中不可见，那么别人就无法修改。
BTW 我觉得这个目的不好，限制用户的行动不是招人喜欢的做法，用户自己的机器为什么自己不能做主。
你可以适当的增加用户改这个文件的难度，防止误改，但是如果用户确实需要改，最好还是不要限制。