こんにちは、川合です。
Kunio Nakamaru さんは 2003/11/30 19:41:04 の「[osask 6719] OSASK
における認証認可」で書きました:
(引用前略)
>ですが、こういったアプリケーション層なしでは、OSASKはOSレベルでの認証認可は
>どのようになっているのでしょうか?Linuxのようにユーザ、グループ所有者を
>READ、
>WRITE、EXECUTEでわけるのか?はたまた、WindowsNTのように、グループや個々ユー
>ザ
>に対して、多くの権限をつけられるようになっているのか?
>この辺をOSレベルで又はアプリケーションでどのようにどうサポートしていくのか
>は、他OSから
>OSASKのファイルシステムにあるデータをアクセスするのに、深く関わってくるかと
>思っております。
(引用後略)
OSASK-Wiki(*1)のnaviで調べると、
*1:
http://remo.s10.xrea.com/osawiki/pukiwiki.php?navi
この手の話は、まさに[OSASK 401]から始まっているのですが、これは
簡単には見られない所にしまってあるので、ここで一応適当に要約して
おきます(もし今回の発言と前回との発言とに食い違いがあれば、それ
は僕がより深く考えて意見を修正したものと判断してください)。
---
まず、LinuxもWinNTも、セキュリティの基本は「あなたが誰であるか
」ということと、それらのアクセス権限が「誰に」許されているか、と
いう考えをベースにしています。・・・だから最初にログインして自分
が誰であるのかをOSに伝えるわけです。
僕の案は違います。一度たりとも、あなたが誰であるかを特定しよう
とはしません。あるファイルにアクセスしたい場合、その経路にセキュ
リティをかけることができますが(経路にかける、というのも重要な話
なのですが、今はそこにはこだわらないでください)、それはだれそれ
なら許可するとか、○×グループであれば許可するというものではあり
ません。設定しておいたパスワードのどれかであれば許可する、という
ものです。ユーザIDはない、と考えてください。どのパスワードでアク
セスしたかはログに残るでしょうが、それが誰であるのかはログには残
りません。
僕の案の場合、同じファイルにアクセスする場合でも、同じパスワー
ドで通れる場合でも、とにかくやたらとパスワードが必要です。僕はこ
の案を、「鍵」という喩えで説明します。僕たちはドアの向こうに行く
ために、鍵を持ちます。鍵を開けて中に入るわけです。逆に言えば、鍵
さえ持っていれば、それが誰であるかを全く考えません。・・・全ての
ドアに同じ鍵をかけてもいいですし、ドアごとに違う鍵でもいいです。
一方、Linuxなどの方法は、身分証明方式といえます。ドアに鍵を掛
けるのではなく、最初に窓口で身分証明証をもらい、それを首にぶら下
げます。ドアには門番がいて、それをちらっとみて、ドアを開けるかど
うかを決めています。
Linux方式の最大の問題は、成りすまされたら、やりたい放題になる
ことです。一方、僕の案の場合、成りすますということはありません。
合鍵を持たれたというだけのことです。その鍵で開く部分は破滅でしょ
う。しかし他の部分には影響しません。
また僕の案の場合、グループという考え方も不要です。共有したいも
のがあればそこにパスワードを設定し、それをその人たちに伝えれば済
みます。
---
この僕の案ですが、OSASKはこれだけしかサポートしないということ
ではありません。やろうと思えば、ユーザ認証式のシステムも組み込め
ます。両方がイネーブルで、組み合わせて利用できるようになるかもし
れません。
---
また、僕の案だといくつかのパスワードを管理しなければいけなくな
るかもしれません。そうなれば、当然シェル側にパスワード管理支援機
能が付くでしょう。シェルが一度通ったパスワードを覚えていてくれる
わけです。そうすれば毎回入力しなければいけないということにはなり
ません。
---
それと、これは僕の持論ですが、どんなに複雑なシステムを作っても
データが入ったHDDやCD-ROM、CFやFDなどが持ち出されたら、簡単にあ
ばけます。これらのセキュリティが有効なのは、ネットワークの向こう
へのアクセスだけです。サーバがおいてある建物に泥棒が入ってしまえ
ばおしまいです。
OSASKではスーパーユーザーという考え方もありません。そのデバイ
スを物理的にアクセスできる人、つまり、HDDやCD-ROM、CFやFDが手元
にあれば、あなたはOSASKにおけるスーパーユーザーです。逆にあなた
がネットワーク越しにアクセスしているのなら、あなたはどんなにすば
らしくて尊敬されてして信頼されていようとも、ただの1ユーザです。
誰かにパスワードを教えてもらうか、パスワードクラックしない限り、
アクセスすることはできません(ただし、デバイスへの低レベルのアク
セスを、ある種のパスワードが入ったら許可するというという設定なら
、その時はネットワーク越しでも全てのファイルにアクセス可能)。
OSASKでは、パスワードクラックを認識したら(パスワードを連続で
10回間違える、など)、もはやスーパーユーザー以外のアクセスを全て
禁止してしまうモードに移行させる機能も付けるつもりです。
僕はOSASKにパスワード解析ツールなどを付けるつもりです。つまり
中古PCにHDDなどが入っていて、その中身がセキュリティロックされて
いたとしても、それは容易にロックを超えられるのです。ネットワーク
の向こうに対しては、これらのツールは無力です(先のように低レベル
アクセスを許していれば、ネットワークの向こうでも有効)。もちろん
OSASKですので、OSASKのファイルシステムだけではなく、他のファイル
システムもアンロックして読み書きできます。
これは悪いことをやれという意味ではなく、もし管理者である自分が
パスワードを忘れて困ってしまったら、これらのツールで助けてあげよ
う、という意味です。・・・僕の考えとしては、特定のスキルある人に
できることは、誰にでもできるようにしたいのです。そしてこれによっ
て、本当は何が安全で何が安全でないかを、初心者にも実感してもらい
たいのです。
もしFDやCFを落としてしまったり盗まれたりしても安心したいなら、
データそのものを暗号化しておくしかないでしょう。これはアクセス速
度が落ちますが、その分安全といえます。
それでは。
--
川合 秀実(KAWAI Hidemi)
OSASK計画代表 / システム設計開発担当
E-mail:kawai !Atmark! imasy.org
Homepage http://www.imasy.org/~kawai/