https://m.opennet.me/openforum/vsluhforumID3/69380.html Джеймс Моррис (James Morris), куратор разработки Linux по вопросам безопасности, сообщил (http://lkml.org/lkml/2010/7/30/61), что патчи, обеспечивающие поддержку технологий AppArmor (http://apparmor.wiki.kernel.org/) и Yama, поставлены в очередь на включение в основную ветку разработки ядра Linux, и должны войти в выпуск 2.6.36.<br><br><br>AppArmor<br><br><br><br>Данная технология является одной из реализаций мандатного контроля доступа для Linux. Изначально она была разработана компанией Immunix. Впоследствии эта компания была куплена Novell'ом, AppArmor был открыт под лицензией GPL и включен в ядро openSUSE. Кроме того, поддержка AppArmor была включена в дистрибутивы Mandriva и Ubuntu. Однако, некоторое время спустя, основатель и главный разработчик AppArmor Криспин Коуэн перешел на работу в Microsoft, а Novell объявила о начале полноценной поддержки в своих продуктах конкурирующей технологии SELinux, начиная с openSUSE 11.1 (подробнее об этих событиях (http://etbe.coker.com.au/2008/08/23/apparmor-is...<br><br>URL: http://lwn.net https://m.opennet.me/openforum/vsluhforumID3/69380.html#53 Tue, 21 Mar 2017 16:11:49 GMT &gt;Он же приниципально не котролирует права на mount -bind. Получив возможность запускать код от рута, первым делом биндим /bin, /sbin и т.п. куда-нибудь в тихое местечко, и вуаля - вся система наша, что есть apparmor, что нет его<br><br>А вот и контроилирует: без capability sys_admin, mount --bind и pivot_root невозможны.<br><br>&gt;Если вы скопируете, например, утилиту ping из каталога /bin/ в каталог /usr/bin или переименуете ее в my_ping, то никакие ограничения AppArmor на нее действовать уже не будут &#8211; не будет профиля для &#171;новой&#187; программы.<br><br>Во первых, не скопируем, потму что у пофили это обычно блокируют. Даже если скопируем - не запустим, так как на запуск право дается избранным файлам. Даже если запустим - запущенное приложение унаследует ограничения родительского профиля.<br><br>&gt;Распознавание приложений и, соответственно, определение их полномочий, производится по имени исполняемого файла. Именно этот момент очень часто выступает ключевым в критике AppArmor. Действительно, подменив имя исполняемого https://m.opennet.me/openforum/vsluhforumID3/69380.html#52 Sun, 05 Dec 2010 01:19:19 GMT В виндовсе в какой то мере соблюдается обратная совместимость с предыдущими версиями. Это очень тяжелое бремя. <br> https://m.opennet.me/openforum/vsluhforumID3/69380.html#51 Mon, 09 Aug 2010 09:26:39 GMT &gt;Позвольте узнать, ваше знакомство с арифметикой закончилось так же? <br><br>Нет, почему же, я знаю и высшую математику. Только, простите, я успешно забыл навороченные доказательства ряда теорем. Просто в силу нерезиновости головы и ненужности мне такого объема информации по данному аспекту. Это не означает что я не смогу применить матемтический аппарат к нужным лично мне задачам. Грубо говоря - я знаю математику на том уровне который требуется для моих задач. Это включает и некоторые компоненты высшей математики, не то что арифметику. Вот и тут так же - мне не за чем держать в моей бошке все эти селинуксовые навороты, если примерно то же самое по результативности (а может и лучше) получается иными методами. В 100500 раз более простыми.<br><br>&gt;Ага, а еще я компилирую в уме программы, и компьютер мне вообще <br>&gt;не нужен. Перестаньте глупости писать. <br><br>Что за левые набросы? <br><br>&gt;&gt;Я могу сделать не хуже по изоляции<br>&gt;Но и не лучше. <br><br>При попытке огреть опенвзовый контейнер сплойтом делавшим махинации с виртуальной памя https://m.opennet.me/openforum/vsluhforumID3/69380.html#50 Tue, 03 Aug 2010 23:42:41 GMT &gt;Чисто для справки - в тот единственный сплойт, который обезвреживал LSM (через <br>&gt;дыру в коде tun-драйвера), добавить возможность выхода за пределы контейнера - <br>&gt;совсем не проблема.<br><br>Да, если дело дошло до хоста и его ядра. А удастся ли спровоцировать проблему из контейнера? Судя по всему - удается это далеко не всегда. Насчет скрипткиддисов - нет, я просто давно ничего не ломаю и в данный момент - запускаю эксплойты сугубо на своих системах с целью проверки их дырявости и изучения возможностей их поимения другими.<br><br>Кстати контейнеры бывают разные. Если взять полновесный виртуализатор типа Xen-а (хоть и заплатив за это тормозами и потреблением памяти) - для поимения хоста или соседних песочниц ломать надо мелкий гипервизор. Вон у рутковской параноидальная система есть, например. Специально на такие случаи как раз.<br><br>&gt;Более того, тот код уже сам по себе был смертельно опасен для всей системы,<br>&gt;и вместо получения рута туда можно было засунуть и запись в блочные устройства. <br><br>Ну да, я понимаю что если я https://m.opennet.me/openforum/vsluhforumID3/69380.html#49 Tue, 03 Aug 2010 22:48:49 GMT &gt;А про то, что в каждом контейнере пашут всякие вспомогательные службы типа <br>&gt;sshd, которые при правильной организации существуют в одном экземпляре, вы в курсе? <br><br>При некоторой организации процесса sshd можно и совсем не запускать (можно например с хоста пнуть все что надо) А у разных копий sshd даже при 100% одинаковом коде будут разными как минимум данные в памяти, т.е. некий оверхед всяко будет. Еще насчет экземпляров - могут быть shared либы, при том не обязательно совпадающих версий. Строго говоря - в чем-то типа опенвзы весьма распостранена практика содержания юзермодов от нескольких разных систем. В этом случае бухтеж насчет памяти валиден на 100%, т.к. в памяти висит куча разных версий процессов и либ. Взамен получается несколько "почти разных" систем и "как бы дебиан" может легко сосуществовать на одной и той же машине с "как бы центосом". Ессно кернел у всех один, но юзермод от соответствующих систем.<br><br>&gt;man cgroups <br><br>Я в курсе про cgroups. Что сказать то хотели? Что вы ман читали и что полезна https://m.opennet.me/openforum/vsluhforumID3/69380.html#48 Tue, 03 Aug 2010 22:16:11 GMT &gt;Контейнеры - ровно так же. Срубаются в два счета. <br><br>А пруф? Например, образец сплойта который вышибет хоть тот же опенвз? Примеры сплойтов срубающих селинукс - я видел в местных новостях. И действительно - он выпиливается. А на хоть той же опнвзе такие сплойты вообще не срабатывают. <br><br>&gt;Да-да, для использования уязвимости в модуле tun нужен модуль tun, как ни странно. <br><br>В моей опенвзовой конфигурации он был, это не помогло. Все-равно не работало. Без опенвзы на физической машине - как из пушки. Из взового контейнера почему-то не работает. Может быть, я тупой, или криворукий, или что-то не понимаю в этой жизни (вероятно, детали реализации контейнеризатора?). Или чего-то упустил из вида. <br><br>&gt;Но методов запретить подгрузку модулей и без контейнеров навалом. <br><br>Контейнеры не позволяют шариться по хосту даже руту с как-бы-полными правами. Полнота его прав ограничивается его песочницей. Может быть это и мешает сплойту?<br><br>&gt;А вы подумайте о том, что будет, если уязвимость обнаружится в разрешенном модуле. <br><br>В https://m.opennet.me/openforum/vsluhforumID3/69380.html#47 Mon, 02 Aug 2010 17:56:32 GMT Кстати, про by design... В Windows множество ошибок, в т.ч. безопасности, были именно by design. Если выбирать между много всего, в т.ч. ошибок, и ограниченно, но контролируемо, то я лучше выберу второе.<br> https://m.opennet.me/openforum/vsluhforumID3/69380.html#46 Mon, 02 Aug 2010 16:56:21 GMT А вы в курсе того, на что способна эта unix-модель? Когда она была создана, какие задачи она должна решать (и ведь решает до сих пор!), и где её возможности кончаются?) Вы можете назвать популярные проблемы, которые в классической модели posix не решаются или решаются криво? Правительственные многоуровневые модели прав к таковым не относить.<br><br>Простота unix даёт о себе знать, в настройке простой вещи намного сложнее ошибиться, чем в сложной (простите за каламбур).<br> https://m.opennet.me/openforum/vsluhforumID3/69380.html#45 Mon, 02 Aug 2010 15:25:05 GMT &gt;Чем больше подсистем <br>&gt;безопасности в апстриме (читай - на виду у всех), тем лучше <br>&gt;их можно изучить, выявить слабые и сильные места и пр. Если <br>&gt;не появится явного лидера, то уже существующие сгладят свои острые углы. <br>&gt;<br>&gt;И как вы, мне интересно, нормально спроектируете систему политики безопасности, которая удовлетворяла <br>&gt;бы _всех_/почти всех? <br><br>Я не против модульности в системе безопасности. В конце концов, в Windows это тоже фактически отдельный модуль (Security Reference Monitor) статически влинкованный в ядро.<br>Я об общей её архитектуре. Если в Windows продвинутая модель безопасности закладывалась на этапе проектирования (линейка NT), то Linux изначально и by design ограничен unix-моделью, а прордвинутые фишки добавлены задним числом (я бы даже сказал - через задний проход) в виде LSM.<br><br>