¿Citas por servicios de red de privilegios mínimos?

4

El Principal de Least Privilege sugiere que los servicios de red no deben ejecutarse con capacidades poderosas e innecesarias. La historia nos enseña que esto es dolorosamente necesario; Hace 25 años, Sendmail y BIND se ejecutaron como root y cambiaron para ejecutarse como usuarios sin privilegios para limitar el daño demostrado por numerosos desbordamientos de búfer y otros ataques. Los servidores de correo alternativos como Postfix y qmail fueron diseñados para funcionar como usuarios no root, y el contexto de usuario de Apache era un elemento en cada lista de verificación que he visto para proteger a Apache.

Sin embargo, ejecutar un servicio como root no es una vulnerabilidad per se ; para citar OWASP ,

  

El hecho de no eliminar los privilegios del sistema cuando es razonable hacerlo   No es una vulnerabilidad por sí misma. Sin embargo, sí sirve para   Aumentar significativamente la gravedad de otras vulnerabilidades.

Entonces, por ejemplo, no hay OWASP Top Ten que diga "No ejecutar servicios como root". Solo otros problemas (como 2004-A5 "Desbordamientos de búfer") cuyo impacto se agrava si el servicio se ejecuta como root.

Lo que dificulta convencer al personal que no pertenece a la Seguridad de que esto es algo malo.

Así que mi pregunta:

¿Puede indicarme referencias citables de autoridades acreditadas que puedan usarse para impresionar a los empleados que no pertenecen a Seguridad (por ejemplo, desarrolladores, TI, administración) sobre la importancia de no ejecutar servicios con privilegios de raíz?

    
pregunta gowenfawr 07.01.2016 - 16:34
fuente

1 respuesta

3

No estoy seguro de qué tipo de referencia está buscando, pero el Principio de los privilegios mínimos fue enunciado por primera vez por Saltzer y Schroeder en su documento de 1974 "La protección de la información en sistemas informáticos":

  

Todos los programas y todos los usuarios del sistema deben operar con el mínimo conjunto de privilegios necesarios para completar el trabajo. Principalmente, este principio limita el daño que puede resultar de un accidente o error. También reduce el número de interacciones potenciales entre programas privilegiados al mínimo para una operación correcta, de modo que es menos probable que ocurran usos no intencionales, no deseados o inapropiados de privilegios. Por lo tanto, si surge una pregunta relacionada con el mal uso de un privilegio, el número de programas que deben auditarse se minimiza. Dicho de otra manera, si un mecanismo puede proporcionar "cortafuegos", el principio de privilegio mínimo proporciona una justificación para dónde instalar los cortafuegos. La regla de seguridad militar de "necesidad de saber" es un ejemplo de este principio.

(Saltzer, Jerome H. (1974). "Protección y control del intercambio de información en multics". Comunicaciones del ACM 17 (7): 389. doi: 10.1145 / 361011.361067. ISSN 0001-0782.)

El documento completo se puede leer aquí.

Eso debería ser una referencia suficientemente válida.

    
respondido por el dr01 07.01.2016 - 16:56
fuente

Lea otras preguntas en las etiquetas