Компания Novell объявила (http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=...) об открытии под лицензией GPL исходных текстов системы AppArmor (http://www.opensuse.org/apparmor), разработкой которой занималась приобретенная Novell'ом в прошлом году компания Immunix. До настоящего времени ПО AppArmor поставлялось в комплекте с SUSE Linux в бинарном виде. Комплекс AppArmor предназначен для контроля за выполнением программ в Linux, в соответствии с заданной политикой безопасности.По сути, он выполняет те же функции, что и SELinux (http://www.opennet.me/prog/info/1316.shtml) (также похож на Systrace (http://www.opennet.me/prog/info/2197.shtml)), только имеет одно существенное преимущество - он более прозрачен и прост в настройке.
При установке модуль ядра AppArmor использует интерфейс LSM (Linux Security Modules), т.е. никаких патчей накладывать не нужно.
Пример конфигурации для сервиса ntpd:
/usr/sbin/ntpd {
#include <abstractions/base>>
#include <abstractions/nameservice>
#include <program-chunks/ntpd>
capability ipc_lock,
capability net_bind_service,
capability sys_time,
capability sys_chroot,
capability setuid,
/etc/ntp.conf r,
/etc/ntp/drift* rwl,
/etc/ntp/keys r,
/etc/ntp/step-tickers r,
/tmp/ntp* rwl,
/usr/sbin/ntpd rix,
/var/log/ntp w,
/var/log/ntp.log w,
/var/run/ntpd.pid w,
/var/lib/ntp/drift rwl,
/var/lib/ntp/drift.TEMP rwl,
/var/lib/ntp/var/run/ntp/ntpd.pid w,
/var/lib/ntp/drift/ntp.drift r,
/drift/ntp.drift.TEMP rwl,
/drift/ntp.drift rwl,
}URL: http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=...
Новость: http://www.opennet.me/opennews/art.shtml?num=6780
А вот теперь представили, что так каждый бинарник нужно, и в частности для cat, а то ведь и cat /etc/ntpd.conf по идее не должен работать.
А теперь посчитали количество бинарников и кол-во файлов (dir,fifo,dev,sockets,pipe,links) с которыми один бинарник работает,... итого С(m,n) комбинации из m по n. в пределе 2^(m+n), У меня их 15800 binary + 160000 text, следственно идеальная защита будет 2^180000 строк текста вида /var/log/ntp w,r
/var/log/ntp.log w,iи т.д.
Не для всех бинарников, а только для кривых, таких как ntpd, через которые рута в системе удаленно получить раз плюнуть.Интересно, когда появится база готовых AppArmor конфигов для популярных сетевых сервисов ?
Раз раз плюнуть, плюньте раз и выкладывайте примеры в студию.
>Раз раз плюнуть, плюньте раз и выкладывайте примеры в студию.Пожалуйста:
http://downloads.securityfocus.com/vulnerabilities/exploits/...
ну да, щас веть ред хэт 7.0 у всех стоит )))
>ну да, щас веть ред хэт 7.0 у всех стоит )))Могу назвать не один такой сервер... К сожалению. Радует что не мои :)
Aug 22 2000 /bin/bash
..... на дворе какбуд-то 2006 год.....
>..... на дворе какбуд-то 2006 год.....Только вот ничего не изменилось с тех пор:
http://secunia.com/search/?search=ntp
Как видите эксплоит бы создан в 2000 году, а пофиксили в конце 2005 ! Есть над чем задуматься.
http://packetstorm.linuxsecurity.com/0512-exploits/2005-expl...
Гхым. Чего-то синтаксис аналога очень на синтаксис Grsecurity похож...
Только GrSec не [использует и не хочет] LSM, а аналог использует LSM.
http://www.grsecurity.net/lsm.php
http://forums.grsecurity.net/viewtopic.php?t=408
http://cvsweb.grsecurity.net/index.cgi/gradm2/policy?rev=1.2...А по сути - и *хорошо*, что "похоже", пользователям _легче_. Нечего велосипеды изобретать.
Ж)) Велосипед: http://lwn.net/Articles/105413/?format=printable