форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: У SELinux появился более удобный аналог"

Сообщение от opennews on 12-Янв-06, 22:50

Компания Novell объявила (http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=/www/story/01-10-2006/0004245975&EDATE=) об открытии под лицензией GPL исходных текстов системы AppArmor (http://www.opensuse.org/apparmor),  разработкой которой занималась приобретенная Novell'ом в прошлом году компания Immunix. До настоящего времени ПО AppArmor поставлялось в комплекте с SUSE Linux  в бинарном виде. Комплекс AppArmor предназначен для контроля за выполнением программ в Linux, в соответствии с заданной политикой безопасности. По сути, он выполняет те же функции, что и SELinux (http://www.opennet.me/prog/info/1316.shtml) (также похож на Systrace (http://www.opennet.me/prog/info/2197.shtml)), только имеет одно существенное преимущество - он более прозрачен и прост в настройке. При установке модуль ядра AppArmor использует интерфейс LSM (Linux Security Modules), т.е. никаких патчей накладывать не нужно. Пример конфигурации для сервиса ntpd: /usr/sbin/ntpd { #include <abstractions/base>> #include <abstractions/nameservice> #include <program-chunks/ntpd> capability ipc_lock, capability net_bind_service, capability sys_time, capability sys_chroot, capability setuid, /etc/ntp.conf             r, /etc/ntp/drift*           rwl, /etc/ntp/keys             r, /etc/ntp/step-tickers     r, /tmp/ntp*                 rwl, /usr/sbin/ntpd            rix, /var/log/ntp              w, /var/log/ntp.log          w, /var/run/ntpd.pid         w, /var/lib/ntp/drift        rwl, /var/lib/ntp/drift.TEMP   rwl, /var/lib/ntp/var/run/ntp/ntpd.pid w, /var/lib/ntp/drift/ntp.drift      r, /drift/ntp.drift.TEMP     rwl, /drift/ntp.drift          rwl, } URL: http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=104&STORY=/www/story/01-10-2006/0004245975&EDATE= Новость: http://www.opennet.me/opennews/art.shtml?num=6780

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "У SELinux появился более удобный аналог"

Сообщение от pavlinux on 12-Янв-06, 22:50

А вот теперь представили, что так каждый бинарник нужно, и в частности  для cat, а то ведь и cat /etc/ntpd.conf по идее не должен работать.   А теперь посчитали количество бинарников и кол-во файлов (dir,fifo,dev,sockets,pipe,links) с которыми один бинарник работает,... итого С(m,n) комбинации из m по n. в пределе 2^(m+n), У меня их 15800  binary + 160000 text, следственно идеальная защита будет 2^180000 строк текста вида /var/log/ntp              w,r /var/log/ntp.log          w,i и т.д.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	2. "У SELinux появился более удобный аналог"
	Сообщение от Аноним on 12-Янв-06, 23:24
	Не для всех бинарников, а только для кривых, таких как ntpd, через которые рута в системе удаленно получить раз плюнуть. Интересно, когда появится база готовых AppArmor конфигов для популярных сетевых сервисов ?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	4. "У SELinux появился более удобный аналог"
	Сообщение от uF0 on 13-Янв-06, 04:26
	Раз раз плюнуть, плюньте раз и выкладывайте примеры в студию.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	5. "У SELinux появился более удобный аналог"
	Сообщение от Аноним on 13-Янв-06, 09:31
	>Раз раз плюнуть, плюньте раз и выкладывайте примеры в студию. Пожалуйста: http://downloads.securityfocus.com/vulnerabilities/exploits/ntpd-exp.c
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	6. "У SELinux появился более удобный аналог"
	Сообщение от xz (??) on 13-Янв-06, 11:08
	ну да, щас веть ред хэт 7.0 у всех стоит )))
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	11. "У SELinux появился более удобный аналог"
	Сообщение от Skif (ok) on 20-Янв-06, 14:33
	>ну да, щас веть ред хэт 7.0 у всех стоит ))) Могу назвать не один такой сервер... К сожалению. Радует что не мои :)
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	7. "У SELinux появился более удобный аналог"
	Сообщение от Gennadi (??) on 13-Янв-06, 15:50
	Aug 22  2000 /bin/bash ..... на дворе какбуд-то 2006 год.....
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	8. "У SELinux появился более удобный аналог"
	Сообщение от Аноним on 13-Янв-06, 17:10
	>..... на дворе какбуд-то 2006 год..... Только вот ничего не изменилось с тех пор: http://secunia.com/search/?search=ntp Как видите эксплоит бы создан в 2000 году, а пофиксили в конце 2005 ! Есть над чем задуматься.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	9. "У SELinux появился более удобный аналог"
	Сообщение от pavlinux (ok) on 13-Янв-06, 20:23
	http://packetstorm.linuxsecurity.com/0512-exploits/2005-exploits.tgz
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

3. "У SELinux появился более удобный аналог"

Сообщение от Аноним on 13-Янв-06, 00:08

Гхым. Чего-то синтаксис аналога очень на синтаксис Grsecurity похож...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	10. "похож, точно"
	Сообщение от Andrey Mitrofanov on 16-Янв-06, 14:19
	Только GrSec не [использует и не хочет] LSM, а аналог использует LSM. http://www.grsecurity.net/lsm.php http://forums.grsecurity.net/viewtopic.php?t=408 http://cvsweb.grsecurity.net/index.cgi/gradm2/policy?rev=1.25&content-type=text/x-cvsweb-markup А по сути - и *хорошо*, что "похоже", пользователям _легче_. Нечего велосипеды изобретать. Ж)) Велосипед: http://lwn.net/Articles/105413/?format=printable
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема