Re: Kann root eine Datei so schwer machen, dass er sie nicht mehr aufheben kann?
Am 22.10.2017 um 14:16 schrieb Peter Funk:
> Stefan Baur schrieb am Samstag, den 21.10.2017 um 23:59:
>> Ich suche eine Möglichkeit, mit der ein Nicht-Root-Benutzer
>> sicherstellen kann, dass root ihm kein "Ei gelegt" hat.
>>
>> Konkret geht es darum, dass auf einem entfernten Host eine Datei mittels
>> GPG signiert werden soll, von einem Nicht-Root-Benutzer.
> ...
>
> Das, was Du erreichen möchtest, ist so direkt nicht sicher möglich.
>
> Wenn Du dem entfernten Host nicht trauen kannst, dann ist
> unmöglich zu verhindern, dass ein böswilliger Superuser
> dem sich einloggenden Benutzer alles Erdenkliche vorgaukelt
> und beliebige Informationen stiehlt, die auf den entfernten
> Rechner übertragen werden.
> [...] Jede Vereinfachung dieses
> umständlich anmutenden Vorganges wäre Sicherheits-Theater,
> was sich irgendwie aushebeln lässt.
Ganz so drastisch würde ich das nicht sehen wollen.
Es reicht ja, wenn es technisch zwar möglich, aber nicht unauffällig
möglich ist. Bonus, wenn es sehr schnell auffällt.
Es kann doch nicht sein, dass noch nie jemand vor der Situation stand,
so etwas tun zu wollen.
Ich denke da nur an die kommerziellen Remote-Desktop-Lösungen, wo Leute
ihren Desktop "in der Cloud" haben, und trotzdem signierte und
verschlüsselte Mails verschicken wollen. Die müssen doch auch irgendwie
ihre Keys sicher hinterlegen, so dass ein Admin nicht in ihrem Namen
signieren, ver- und/oder entschlüsseln kann.
Gruß
Stefan
Reply to: