https://opennet.me/openforum/vsluhforumID3/64083.html Компания Canonical, продвигающая AppArmor (http://apparmor.wiki.kernel.org/) в Ubuntu, в роли более простого в настройке аналога системы определения политик безопасности SELinux, предприняла (http://permalink.gmane.org/gmane.linux.kernel.lsm/10443) повторную попытку инициирования процесса интеграции AppArmor в основную ветку Linux ядра. Прошлая попытка была осуществлена в 2007 году компанией Novell, но привела лишь к критике (http://www.opennet.ru/opennews/art.shtml?num=11280) со стороны некоторых авторитетных разработчиков Linux ядра. <br><br><br>Основные претензии сводились к недостаточной совместимости с интерфейсом LSM и излишней привязке к файловому пути, вместо реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее замечания и подготовили улучшенный вариант AppArmor, переработанный в плане использования стандартных LSM (Linux Security Modules) хуков (задействовали security_path вместо vfs), что повышает привлекательность...<br><br>URL: http://permali https://opennet.me/openforum/vsluhforumID3/64083.html#52 Wed, 24 Feb 2010 14:15:29 GMT Благодарю!<br> https://opennet.me/openforum/vsluhforumID3/64083.html#49 Mon, 22 Feb 2010 12:20:35 GMT и как это поможет определить кто из программ запросил по 80 порту файл www.pupkin.org/troian.gz ?<br> https://opennet.me/openforum/vsluhforumID3/64083.html#48 Mon, 22 Feb 2010 11:51:18 GMT &gt;&gt;тяжелое наследие ос вендоз... <br>&gt;<br>&gt;это реальная проблема и виндовс тут не причем. <br>&gt;у людей и у меня в том числе есть потребность запрещать/разрешать трафик <br>&gt;только определенным приложениям. что в этом такого? фильтрация на L3,L4 - <br>&gt;это прошлый век, на рутерах сгодиться, но не для защиты информации. <br>&gt;<br><br>Педивикия гласит:<br>"На самом деле, TCP- или UDP-пакеты всегда содержат два поля номера порта: отправителя и получателя. Тип обслуживающей программы определяется портом получателя поступающих запросов, и этот же номер является портом отправителя ответов. &#171;Обратный&#187; порт (порт отправителя запросов, он же порт получателя ответов) при подключении по TCP определяется клиентом произвольно (хотя номера меньше 1024 и уже занятых портов не назначаются), и для пользователя интереса не представляет. Использование обратных номеров портов в UDP зависит от реализации."<br><br>Есть проблема в фильтрации UDP трафика, в остальных случаях номера порта достаточно, чтобы фильтрануть софт.<br> https://opennet.me/openforum/vsluhforumID3/64083.html#47 Mon, 22 Feb 2010 08:21:27 GMT я отвечаю на твой пост наполненный неверными ассоциациациями и утверждениями. Ожидаешь в ответ лекцию ?<br><br>Повторюсь:<br><br>1) применений технологий такого типа миллион.<br>2) Аппармор - это технология решающая существующие проблемы безопасности которые были за много лет до появления Аппармор.<br> https://opennet.me/openforum/vsluhforumID3/64083.html#46 Mon, 22 Feb 2010 02:07:26 GMT &gt;&gt; 1) 4 можно получить, как 2 + 2, 2*2, 2^2, 2*exp(ln(2)), Аpparrmor это наверно вариант <br>&gt;Аппармор к этим твоим мат упражнениям отношения не имеет <br>&gt;не нужен - не используй. Тебя не заставляют. Даже в убунту. <br>&gt;Аппармор не имеет отношения к рассуждениям в стиле задорнова. <br>&gt;Как вы раньше жили без компьютера? <br><br>А кроме как, "к твоим, тебя, в твоём, вы, тебе" есть что сказать? :) <br><br><br> https://opennet.me/openforum/vsluhforumID3/64083.html#45 Sun, 21 Feb 2010 21:30:12 GMT &gt; 1) 4 можно получить, как 2 + 2, 2*2, 2^2, 2*exp(ln(2)), Аpparrmor это наверно вариант <br><br>Аппармор к этим твоим мат упражнениям отношения не имеет<br><br>&gt; 2 Мне не нужен AutoCAD чтоб начертить 17-угольник вписанный в окружность, и тем более он не нужен, если эту операцию производить каждый день.<br><br>не нужен - не используй. Тебя не заставляют. Даже в убунту.<br><br>&gt; 3 Единственное применение AA - это общественное SSH/Telnet/rsh/rlogin пастбище,<br><br>применений технологий такого типа миллион.<br><br>&gt; 4 Приведите пример конфигурации, где такое пастбище является единственным выходом, для решения проблемы. <br><br>Для чего? Почему единственным ?<br><br>&gt; 5. 1-й Закон Амерекосского бизнеса - для того чтобы товар покупали, надо создать проблему, которую можно решить с помощью данного товара. <br><br>Аппармор не имеет отношения к рассуждениям в стиле задорнова. Аппармор - это технология решающая существующие проблемы безопасности которые были за много лет до появления Аппармор.<br><br>&gt; 6. Как вы раньше жили без АА? Плохо? Нет! Так какого х..я о https://opennet.me/openforum/vsluhforumID3/64083.html#44 Sun, 21 Feb 2010 15:34:37 GMT Банальная оптимизация ресурсов, меньше переключений контекста, блокировок.<br><br>Ваш К.О.<br> https://opennet.me/openforum/vsluhforumID3/64083.html#43 Sun, 21 Feb 2010 15:33:54 GMT &gt;&gt;4. Видимо, есть еще публичные веб-серверы, 0day уязвимости, и целая тонна быдлопрограммеров. <br>&gt;&gt;К слову, единственным выходом для решения любой проблемы является виселица. А <br>&gt;&gt;в системе безопасности RBAC - не выход а дополнительная ступень защиты. <br>&gt;<br>&gt;AppArrmor не Role Based, а Mandatory <br>&gt;<br><br>и это, я бы сказал, отнюдь не минус... но не суть...<br>оно живет, _отличается_, а значит - в войне стандартов будут игроки, а не диктатор<br> https://opennet.me/openforum/vsluhforumID3/64083.html#42 Sun, 21 Feb 2010 15:28:52 GMT читаем хорошо?<br>слово "везде" где усмотрел ?<br><br>и опять же, отучаемся говорить за большинство<br><br>насчет программеров, которые из сил выбивались<br>их, собственно, никто и не заставлял, они на себя и работали<br>люди так учатся писать программы, флаг им в руки<br>