home *** CD-ROM | disk | FTP | other *** search
/ Usenet 1994 January / usenetsourcesnewsgroupsinfomagicjanuary1994.iso / sources / std_unix / volume.29 / text0065.txt < prev    next >
Encoding:
Text File  |  1992-12-26  |  5.5 KB  |  136 lines
  1. Submitted-by: pc@hillside.co.uk (Peter Collinson)
  2.  
  3. USENIX Standards Watchdog Committee
  4. Stephen R. Walli <stephe@usenix.org>, Report Editor
  5.  
  6.  
  7. POSIX.6 - Security Extensions
  8.  
  9.  
  10. Charisse Castignoli <charisse@Smallworks.com> reports on the July
  11. 13-17, 1992 meeting in Chicago, IL :
  12.  
  13. The POSIX.6 group continued to work on new project authorization
  14. requests (PARs).  Two PARs have been submitted to the Project
  15. Management Committee (PMC). They are:
  16.  
  17.    - A Secure General Terminal Interface (GTI)
  18.  
  19.    - Identification and Authentication
  20.  
  21. Other PARs, such as a portable interchange format, have not been
  22. submitted to the PMC due to the lack of resources to work on them.
  23.  
  24. In response to requests by individuals to assess whether or not
  25. POSIX.6 could go out as a trial use standard, Mike Ressler suggested
  26. we carefully analyze this approach.  We need to go back and look at
  27. what the Trial Use definition from the IEEE is, and try to determine
  28. what the right approach is for POSIX in general, NOT just POSIX.6.
  29.  
  30. Monday:
  31.  
  32. The POSIX.6 ballot resolution committee continued to slog through the
  33. comments and objections.  We work individually on our laptops, and
  34. then send a merged document back to Bellcore.  Mike Ressler and his
  35. horde of great editors then patch together our individual sections and
  36. email out the updated sections.
  37.  
  38. Of course, you can imagine what happens when a laptop breaks down. The
  39. person depending upon it instantly becomes an order of magnitude less
  40. productive.  This week's session began with the power supply failure
  41. of one of the laptops.  No problem, says customer service, we'll ship
  42. you a new power supply overnight and have you up an running in no
  43. time.  We should have started taking odds on whether the power supply
  44. or the end of the meeting would arrive first!
  45.  
  46. Despite our hardware limitations, the committee still struggled on..
  47.  
  48. Tuesday:
  49.  
  50. We spoke for a long time about multi-level directories, and whether or
  51. not they should be in the standard.  Multilevel directories, are a
  52. technique used to solve the problem of public directories (such as
  53. /tmp and /usr/spool). In a trusted system with more than one
  54. sensitivity level, a process at SECRET can not view files created by
  55. processes at TOP SECRET.  To solve this problem, the idea of creating
  56. non-visible subdirectories, one for each level, was hatched.
  57. Processes without a privilege will only see files in their
  58. subdirectory. To this process, the pathname would look like
  59. "/tmp/mysecretfile". But to a process with the multilevel privilege
  60. the pathname would look like "/tmp/SECRET/mysecretfile".
  61.  
  62. Kevin Brady pointed out that there were very few existing applications
  63. that actually needed to view the resulting true multilevel directory.
  64. Most applications just want to create a file and are unaware of
  65. whether the underlying directory is multilevel or not.
  66.  
  67. For example, in current UNIX trusted systems, vi writes file to /tmp.
  68. vi is unaware that /tmp is a multilevel directory, however expreserve,
  69. the program that reclaims vi drafts from /tmp, is mulit-level aware.
  70.  
  71. Our power supply didn't arrive today....
  72.  
  73. Wednesday:
  74.  
  75. One of the most controversial ballot resolution issues we face is that
  76. we do not have a consistent storage and allocation model for the data
  77. structures that the POSIX.6 interfaces manipulate.  Some functions,
  78. such as the Mandatory Access Control (MAC) and Information Labels (IL)
  79. interfaces, lend themselves to persistent opaque data types.  Others,
  80. such as the Access Control List (ACL) interfaces, require data types
  81. that are non-persistent.
  82.  
  83. It is amazing that almost two years after this issue was raised, after
  84. many hours of thought and great debates over countless beers, we reach
  85. the final hours of ballot resolution and still have not reached
  86. consensus.  The resolution of the day is:
  87.  
  88.    - MAC, IL, are going to be persistent opaque,
  89.  
  90.    - Audit, Discretionary Access Control (DAC) and PRIV are
  91.      going to be non-persistent opaque
  92.  
  93. Still no power supply and it's the shippers fault according to
  94. customer service.
  95.  
  96. Thursday:
  97.  
  98. The next controversial issue that was raised has its origins even
  99. further back in the history of POSIX.6.  The discussions go all the
  100. way back to /usr/group meetings!  This is the ACL feature called the
  101. mask.  The mask was introduced as a mechanism to:
  102.  
  103.    - map UNIX mode bits into an ACL,
  104.  
  105.    - map chmod() calls to manipulations of an ACL
  106.  
  107.    - provide backwards compatibility with the current uses of the mode
  108.      word.
  109.  
  110. In order to achieve maximum compatibility, (but not 100%), the ACL
  111. algorithm became incredibly complex as ACL entries became subject to
  112. restrictions and manipulations incurred by the mask.  The algorithm
  113. became esoteric, to the point where this reviewer believes that no one
  114. without a PhD in computer security will be able to understand it.
  115.  
  116. In order to simplify the algorithm, the mask has been deleted.  Now,
  117. mode bits are converted to ACL entries, and chmod() only effects the
  118. UNIX mode bits.  A POSIX configuration option allows the application
  119. to select whether or not to receive an error when chmod() is executed
  120. on a file the has an ACL on it.
  121.  
  122. No power supply - but it will be there tomorrow for sure for sure.
  123.  
  124. Friday:
  125.  
  126. Most groups are 80-95% complete on their pass through the objections
  127. and comments.  ACLs, who had a few extra to begin with, still have the
  128. furthest to go.  The committee would like to go out for re-ballot or
  129. re-distribution at the end of the Utrecht meeting.
  130.  
  131. UPS finally delivers Roland's new power supply just in time to pack up
  132. his laptop, and get absolutely no use out of it whatsoever.
  133.  
  134. Volume-Number: Volume 29, Number 67
  135.  
  136.