Эскалация прав доступа, требующая нескольких авторизация системного администратора
Я не знаю ни о каких опубликованных сравнительных тестах кроме некоторых неофициальных тестов, которые несколько человек запустили и разместили на своих веб-сайтах. Анекдотическим образом код crypto (OpenSSL), кажется, не наиболее оптимизирован в мире, но это, кажется, не свинья также. Легкий сравнительный тест для Вас должен был бы установить сервер OpenVPN и клиент на паре ПК на LAN и время, переместив некоторый трафик через них при наблюдении загрузки ЦП на обоих.
Я могу сказать Вам, что могу насыщать ссылку 802.11g, работающую на уровне 54 Мбит/с с зашифрованным трафиком без max'ing ЦП на машине Pentium II спама 400 МГц, которая является сервером OpenVPN на моей домашней LAN. Это заставляет меня думать, что Жеода могла, вероятно, сделать это, также.
OpenSSL (и поэтому OpenVPN) поддерживает некоторые аппаратные средства, разгружают решения, также. Низкопроизводительное решение Через "замок", включенный в некоторых Через чипсеты. Это могло бы также быть способом поддержать Ваши требования ЦП на низком уровне. См.:
Возможно, Вы могли злоупотребить защищенным маркером путем создания корневой учетной записи с маркером. Затем дайте маркер "частично доверяемому человеку номер 1 (менеджер)" и PIN "частично доверяемому человеку номер 2 (администратор)". Человек, которому частично доверяют, номер 2 должен позвонить человеку, которому доверяют, номер 1. и спросите его число относительно дисплея маркера. Тот путь 1 и 2 должен объединиться, чтобы позволить войти в систему. Я немного опасался бы полагаться на него, хотя Вы могли поместить 2, соединяет дверь офиса, и выпустите ключи к полудоверяемым сторонам, которые должны были бы снова объединиться для открытия офиса для достигания безопасной рабочей станции?
Я не был бы удивлен, существуют ли биты, соединенные болтом на некоторые операционные системы, которые делают это, но необходимо будет, вероятно, присоединиться к организации, где Вы, как ожидают, будете приветствовать и говорить "Сэра" много, прежде чем можно будет использовать их.
Эта запись в блоге кем-то, кто разработал/создал просто такую систему, интересна: Блог доктора Rick (Crypto) Smith
Нет ничего как это, по умолчанию, но SELinux и и Posix ACLs смог быть усиленным путем отклонения всех корень кроме случаев, где несколько маркеров (или файлы или процессы, или безотносительно) существуют и принадлежат надлежащим людям. Вид подобных еще более сложное использование семафоров.
Проверьте эту статью в Журнале Linux о создании непривилегированного корня.
BTW, в случае, если Вы не знали, Вы вмешиваетесь в Глубокое Волшебство.
-
1глубоко, глубокое волшебство вуду заводи. существует человек с ожерельем черепа и зуба, стоящим по Вам, поскольку Вы пытаетесь продолжить... :) – troyengel 1 January 2010 в 19:25