"Linux Kernel Security (SELinux vs AppArmor vs Grsecurity) (http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecur...)" - сравнение возможностей SELinux, AppArmor и GrsecurityURL: http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecur...
Новость: http://www.opennet.me/opennews/art.shtml?num=21967
Вопрос. Допустим есть крайне важные документы/база данных, которые имеет право видеть весьма ограниченный круг лиц (администраторы естественно в него не входят). Если поставить SELinux, возможно ли защититься от злобных админов, т.е не давать им доступ к важной информации и в то же время предоставить неограниченные права по настройке и бэкапу системы?
шифрованный раздел?
Это "Role-based Access control".
Grsecurity или RSBAC патчи. Может кто-то ещё так умеет.
Администратор может отключить SElinux
помогут только "правовые" ограничения
>Администратор может отключить SElinux
>помогут только "правовые" ограниченияуплывшую информацию не вернуть "правами".
А отключение Селинуха тоже можно запретить
>>Администратор может отключить SElinux
>>помогут только "правовые" ограничения
>
>уплывшую информацию не вернуть "правами".
>
>А отключение Селинуха тоже можно запретитьКак говорится, "Клиента можно напоить, оглушить, с труппа - наконец..."
IMHO, я вообще с трудом представляю, как можно что-то закрыть от администратора. Если надо будет, то можно достать через уязвимость (которые находят в любой системе), через установку протрояненого софта или обновления софта, в конце концов через имитацию неисправности и локальным доступом. Другое дело, надо ли будет это админу (может ему и так хорошо платят)
Можно, можно.
Я - админ. Я всегда должен думать, что завтра я могу стать плохим человеком, от которого мне нужно сегодня защитить информацию.
Поставив перед собой цель, сделать хорошо и надежно, я сделаю примерно следующее:
- система содержит в себе только минимальный набор утилит, необходимых для подключения важной нагрузки
- минимальный загрузочный образ требует пароль к ключу при запуске
- все бинарники подписаны и зашифрованы, так что запустить что-то с модифицированного образа диска не выйдет, равно как и неподписанное не запустить с немодифицированной системы
- образ подписывается ключем с зашифрованного диска, пароль от которого вводит не админТонкое место в этой системе - кирдыко-защищенность. Но никто не запрещает создать такую же параноидальную систему резервного копирования.
>образ подписывается ключем с зашифрованного диска, пароль от которого вводит не админулыбнуло, и к то же это такой важный у вас вводит ключ? Неужто генеральный согласился поработать за админа?:) А по существу - в крупных организациях где много админов и нужно разделять по ролям делается по другому - есть главный сисадмин или проще говоря "Ведущий специалист по информационной безопасности", вот он то и распределяет роли, наиболее ответственные беря на себя, занимаясь подобными вещами которые не должны видеть/знать рядовые админы. А то смешно получается - образ подписывает админ а вводит пароль не он.
>Я - админ. Я всегда должен думать, что завтра я могу стать
>плохим человеком, от которого мне нужно сегодня защитить информацию.Если ты станешь плохим человеком то всегда подстроишь обстоятельства так что информация к тебе попадет, если уж ты ей заведуешь :).Возможно просто стоит разделять "бэкап операторов" и полноправных админов и не брать полноправным админом кого попало?А то так можно и банду грабителей инкассаторами на работу взять :)
>Если поставить SELinux, возможно ли защититься от злобных админовУволить злобных, принять на работу людей, которым доверяете. Защищаться от людей, которые вас защищают выглядит как-то противоестественно. Кадры решают все (С)
>>Если поставить SELinux, возможно ли защититься от злобных админов
>
>Уволить злобных, принять на работу людей, которым доверяете. Защищаться от людей, которые
>вас защищают выглядит как-то противоестественно.На удивление правильная мысль :) И, по сути, правильный ответ на поставленный вопрос.
А совсем правильная - воспринимать как равных себе текущих админов - и ни защищаться,
ни увольнять никого не понадобиться."Разделяй и властвуй" внутри конторы ведёт лишь в тупик и банкротство...
> Кадры решают все (С)Да, Сталин, говоря это, имел об этом представление... ;)
>неограниченные права по настройке и бэкапу системы?А что админу с неограниченными правами помешает настроить SELinux? :D
Простите, или уж неограниченные возможности или уж ограничить.Что-нибудь одно.
>поставить SELinux, возможно ли защититься от злобных админов, т.е не давать
>им доступ к важной информации и в то же время предоставить
>неограниченные права по настройке и бэкапу системы?Э-э-э... В этом, простите, и есть суть SELinux! :) :) :)
Для этого он сделан и очень хорошо эту задачу решает :)
Это не сравнение, это просто автор брошюр начитался и по ним выводы строит. никаким сравнением и не пахнет. Ни реальных примеров использования, ни бенчмарков, ни описания типичных проблем эксплуатации там нет.Особенно рассмешило что у всех систем стоит "perfomance impact-None". И это при том что, например, в доках к selinux явно написано что некоторые хуки будут сильно тормозить систему.
Явно человек ни с одной из этих систем не знаком. Да и grsecurity я бы не стал сравнивать с selinux и apparmor, это просто набор патчей который решает старые проблемы линуха аля "все юзеры могут смотреть dmesg и список процессов друг друга".
Вот еще есть сравнение уровней защиты (что и какой левел добавляет) - http://sysadmin.te.ua/linux/sravnenie-urovnej-zashhity-grsec...