<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jul 21, 2015 at 9:46 PM, Salz, Rich <span dir="ltr"><<a href="mailto:rsalz@akamai.com" target="_blank">rsalz@akamai.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
> Actually that isn't quite right.  A properly configured and tuned RBAC policy, when combined with PaX, can very effectively limit all userspace activity (including root access!). <br>
<br>
How do you know that the module is installed and actually doing things? How do you know what kernel is actually booted?<br></blockquote><div><br></div><div>Of course you're right.  One might also consider attack vectors from an unsecured BMC or the IME - they probably have undetectable DMA access to the host, after all.  But that isn't the point ... steps can and should be taken to lock down the host operating system.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
> It helps if you can also use a hardware security module to protect your key material.<br>
<br>
How do you know that the operations that YOU request are actually the ones being performed?  How do you know that the operating system isn't making additional requests of its own?<br>
<br>
You have to trust root.  No two ways about it.<br></blockquote><div><br></div><div>The first question has no bearing on the second statement.  With or without grsecurity/selinux, you have no way to guarantee that the kernel is operating the way you expect it to at any given time.  I suppose it boils down to the threat model.  However, limiting root's power is a good idea, and grsecurity provides an excellent framework in which to do so.  Caveat emptor.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
openssl-users mailing list<br>
To unsubscribe: <a href="https://mta.openssl.org/mailman/listinfo/openssl-users" rel="noreferrer" target="_blank">https://mta.openssl.org/mailman/listinfo/openssl-users</a><br>
</div></div></blockquote></div><br></div></div>