Casey Schaufler представил (http://kerneltrap.org/Linux/Simplified_Mandatory_Access_Cont...) в списке рассылки разработчиков Linux ядра упрощенную систему принудительного контроля доступа (MAC, Mandatory Access Control) для Linux.Новая система названа Smack (http://www.schaufler-ca.com/) (Simplified Mandatory Access Control Kernel) и реализована через привязку меток к задачам и блокам данных (файлы, IPC, сетевые пакеты и т.д.) на уровне ядра.
В качестве достоинств системы отмечается реализация в виде LSM модуля не затрагивающего другие подсистемы ядра, минимальные требования к поддержке со стороны приложений и упрощенных подход к конфигурированию (управление через псевдо-ФС smackfs).URL: http://kerneltrap.org/Linux/Simplified_Mandatory_Access_Cont...
Новость: http://www.opennet.me/opennews/art.shtml?num=12273
Если уж совсем быть дотошным, то MAC это мандатный контроль доступа, основанный на классификации ресурсов по уровням конфиденциальности.Авторы новостей пишут лишь бы написать?
ХЗ, ошибка ли это.
mandatory _
1. _a. _
1> мандатный _
2> обязательный, принудительный; -
>Если уж совсем быть дотошным, то MAC это мандатный контроль доступа, основанный
>на классификации ресурсов по уровням конфиденциальности.
>
>Авторы новостей пишут лишь бы написать?Я стараюсь использовать терминологию википедии:
http://ru.wikipedia.org/wiki/Mandatory_Access_Control
и FreeBSD HandBook http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html
И правильно делаете.
Откройте любую книжку по безопасности. Mandatory как "принудительный" не совсем верно отражает суть понятия.
>Откройте любую книжку по безопасности. Mandatory как "принудительный" не совсем верно отражает
>суть понятия.С другогй стороны в пользу "принудительного" идет противопоставление с DAC: Прнудительный контроль доступа (MAC) и Добровольный контроль доступа (DAC). Мандатный хорошо звучит в купе с дискреционным :-)
Что касается книжек, то нашел старый, советских времен, словарь перевода компьютерных терминов, там MAC переводят как "обязательный", а "capability" как мандатный. В словаре по информатике MAC переводят как мандатный, вообщем путаница.
Как мне кажется, здесь ситуация сходная с конкуренцией терминов "брандмауер" и "межсетевой экран".
>с конкуренцией терминов "брандмауер" и "межсетевой экран".Да нету никакой конкуренции %) --
"Простое русское слово брандмауэр переводится с немецкого на английский как файервол."(тм)
Кстати, в последовавшем обсуждении были очень хорошо проиллюстрированы подходы к отбору кода и избежанию однобоких "преференций" там, где тема не отличается однозначным восприятием у разработчиков: http://kerneltrap.org/Linux/Pluggable_Security
Апять изобретают велосипед
в RSBAC все давно сделано
и отлично работает
объяснить нежелание Линуса включать данный функционал в ядро
,лично я могу, только конспирологическими измышлениями на тему
"Большие корпорации нехотят делать ПОНАСТОЯЩЕМУ надежные системы внутренней безопасности".
О том что LSM может использоваться для создания руткитов написано например здесьhttp://www.technewsworld.com/story/linux-software/39565.html
Значит эта дыра в ядре комуто очень нужна
любые хуки в ядре можно использовать для руткитов, это не аргумент.