URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 13368
[ Назад ]

Исходное сообщение
"OpenNews: Практикум по использованию категорий безопасности в SELinux"

Отправлено opennews , 23-Янв-06 00:35 
В статье "Getting Started with Multi-Category Security (MCS) (http://james-morris.livejournal.com/8228.html)" приводятся практические примеры использования, появившейся в тестируемом в настоящее время Linux дистрибутиве Fedora Core 5, функциональности SELinux, дающей возможность оперировать категориями.  Т.е. можно значительно упростить работу с SELinux, определив несколько наборов правил (например, "Company_Confidential" или "Medical_Records") и дальше оперировать ими как атрибутами для управления доступом.

В предыдущей статье "А brief introduction to Multi-Category Security (MCS) (http://www.livejournal.com/users/james_morris/5583.html)" были изложены основные принципы MCS.

URL: http://james-morris.livejournal.com/8228.html
Новость: http://www.opennet.me/opennews/art.shtml?num=6840


Содержание

Сообщения в этом обсуждении
"Практикум по использованию категорий безопасности в SELinux"
Отправлено pavlinux , 23-Янв-06 00:35 
Вот и в Linux понапихали дерьма всякого, постепенно превращаемся в VAX/VMS, а теперь вспомним что есть VAX с VMS, и что есть Linux, за одно вспомним судьбу VAX/VMS. Linux, по идее, не может быть ОСью для Мэинфрэймов (пока), ну неверю я, что возможно одновременно работать 100000 человек, пускай хотя бы с консолью и VI или TeX. В Линухе спустя 10 лет, ACL стали более-менее использовать, а тут такие, 99.9%   людей ненужные вещи.  

"Практикум по использованию категорий безопасности в SELinux"
Отправлено pavlinux , 23-Янв-06 00:43 
...В догонку, опять про VAX.
   Насколько я помню там прав доступа к файлам/объектам было что-то около 12 или 16. А теперь представили 2 в 16 степени (65536) вариантов доступа к файлу :) Клёво, да?! Особенно меня прикалывало, когда стояло READ, WRITE, NODELETE
то есть обнулить файл мог, а удалить нет :)

"Практикум по использованию категорий безопасности в SELinux"
Отправлено pavlinux , 23-Янв-06 00:49 
... и ещё про VAX, ладно, так уж и быть открою секрет, такие права как READ, WRITE, NODELETE ставились на файлы устройств и т.п.

"Практикум по использованию категорий безопасности в SELinux"
Отправлено dct , 23-Янв-06 05:27 
На самом деле не самая глупая комбинация, даже в переводе на обычные файлы.. Примеров может быть куча....


"Вот именно."
Отправлено Мартышкин , 23-Янв-06 05:32 
Ты меня опередил на минуту.

Это спасает систему от миллиарда коллизий.

И что такое "100 000 пользователей"?

100 тысяч пачечек перфокарт переложенных огрызками гетинакса и перехваченных резинкой от трусов, что ли?

> 100000 человек, пускай хотя бы с консолью и VI или TeX
По 300-бодной сверхсекретной линии?


"Практикум по использованию категорий безопасности в SELinux"
Отправлено Аноним , 23-Янв-06 08:23 
пускай внедряют
понадобится - рано или поздно
существущая система прав 777 убога донельзя

"Практикум по использованию категорий безопасности в SELinux"
Отправлено Santa_Claus , 23-Янв-06 09:11 
Не хлопцы, SELinux это необходимость.

Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.


"Практикум по использованию категорий безопасности в SELinux"
Отправлено pavlinuix , 23-Янв-06 10:57 
Да не нужна она в Линухе, А NT ядро у VAX спёрло, всмысле разрабатывали одни и те же люди.

"Она в Линуксе нужна"
Отправлено Мартышкин , 23-Янв-06 12:22 
Гугл и форум ореннет переполнены призывами - спасите скорей ничего не делал, все развалилось! Потому что не хватает запрета менять владельца файлА, либо фичи сохранять владельца файлА, даже если его преписывает рут. 9/10 истерик о помощи - повышение или понижение прав на доступ к конфиг или спул файлам. Проделай лабораторную:

chmod u+w sudoers

Самое смешное, что посылать в ... sudo может тебя так, что ни в логах, ни в удаленной консоли ты ее ... не увидишь. Вот и чеши репу!

А был бы атрибут "не менять разрешений" - никто не налетал бы на это после "chmod -R u+w /usr/local/etc"


"Практикум по использованию категорий безопасности в SELinux"
Отправлено csa , 23-Янв-06 10:57 
>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
а можно поподробнее? не флейма ради, а знаний для..

"Практикум по использованию категорий безопасности в SELinux"
Отправлено Santa_Claus , 23-Янв-06 13:15 
>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
>а можно поподробнее? не флейма ради, а знаний для..

Ну, например вот permission entry для каталога в винде:
full control
traverse folder/execute file
list folder/read data
read attributes
read extended attributes
create files/append data
write attributes
write extended attributes
delete subfolders and files
delete
read permissions
change permissions
take ownership

и все это раздельно можно задавать для групп юзеров или по отдельным юзерам.

Правда такая гибкость порождает в свою очередь проблемы в том, что нетривиально (быстро и штатными ср-вами в удобочитаемом виде) узнать права всех юзеров на все каталоги.


"Это называется ACL, а не 'система безопасности'."
Отправлено Andrey Mitrofanov , 23-Янв-06 15:42 
>>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
>>а можно поподробнее? не флейма ради, а знаний для..
>Ну, например вот permission entry для каталога в винде:
>full control
>traverse folder/execute file
>list folder/read data
[...skip...]
>и все это раздельно можно задавать для групп юзеров или по отдельным
>юзерам.
Это по-человечески называется ACL. Права доступа к файлам в виде списков, а не триад ugo**rwx. Кому надо, у того ACL есть и в fs, и в самбе, я думаю.

SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на _действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих прав. Это, наверное, ближе к каким-нибудь policies в Win*.

> проблемы в том, что нетривиально
То, что не белается "одной кнопкой", то есть было изначально реализовано разработчиками в виде этой самой "одной кнопки", _будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет по-меньше.


"Это называется ACL, а не 'система безопасности'."
Отправлено Santa_Claus , 24-Янв-06 09:00 
>>Ну, например вот permission entry для каталога в винде:
>Это по-человечески называется ACL. Права доступа к файлам в виде списков, а
>не триад ugo**rwx. Кому надо, у того ACL есть и в
>fs

А где подобное в ФС найти?

>SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на
>_действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих
>прав. Это, наверное, ближе к каким-нибудь policies в Win*.

Да и это тоже.

>_будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет
>по-меньше.

Изначально базар был о том, что SELinux нужен.


"Кому надо, у того есть, кому не надо, 'ищет'..."
Отправлено Andrey Mitrofanov , 24-Янв-06 10:04 
>>Кому надо, у того ACL есть и в fs
> А где подобное в ФС найти?
В. Интернете. google.ru/search?q=ACL+filesystem и т.п.
http://acl.bestbits.at/ "The 2.6 kernel already includes support for ext2, ext3, jfs and xfs."
Ну, или в своём ядре.

"Кому надо, у того есть, кому не надо, 'ищет'..."
Отправлено Santa_Claus , 24-Янв-06 12:11 
>>>Кому надо, у того ACL есть и в fs

getfacl, setfacl - Это?


"Практикум по использованию категорий безопасности в SELinux"
Отправлено K_Sasha , 23-Янв-06 12:10 
>Не хлопцы, SELinux это необходимость.
>
>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни
>говорили.

На сколько мне известно, SELinux разработан для ограничения root с системе, виндофс тут не причем, а уж гибкость тем более, это больше на геморой похоже :(  


"Практикум по использованию категорий безопасности в SELinux"
Отправлено Аноним , 23-Янв-06 15:35 
2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно быстро узнать права пользователя по отношению к каталогам и файлам.

"Практикум по использованию категорий безопасности в SELinux"
Отправлено Santa_Claus , 24-Янв-06 09:01 
>2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно
>быстро узнать права пользователя по отношению к каталогам и файлам.

Это да. Но эта ОС уже умерла.


"Практикум по использованию категорий безопасности в SELinux"
Отправлено maks , 01-Фев-06 09:45 
Зато NDS eDirectory, работает как на Линухах, так и Соляре