The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Разработчики OpenBSD отвергают подход SELinux"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от opennews on 26-Сен-07, 16:38 
В списке рассылки OpenBSD-misc разгорелась дискуссия (http://kerneltrap.org/OpenBSD/SELinux_vs_OpenBSDs_Default_Se...) в которой сравнивались текущие средства безопасности OpenBSD с возможностями предоставляемыми SELinux.  Разработчики пришли к выводу, что главная проблема SELinux в излишне усложненном языке определения политик безопасности.  


По опыту Damien Miller (http://www.mindrot.org/projects/), основного разработчика OpenSSH, для многих не типовых решений политики безопасности используемые в дистрибутивах по умолчанию непригодны, и большинство администраторов, вместо изменения правил доступа,  прибегают к более простому пути - отключают SELinux.


Ted Unangst считает, что главная проблема организации безопасности, через определение политик,  заключается в том, что политики всегда неправильны.


Darrin Chandler предполагает, что безопасность не должна даваться свыше, безопасность должна устанавливаться в процессе разработки. В OpenBSD безопасность - атрибут кода и часть процесса разработки.


SELinux systrace (http://www.citi.umich.edu/u/provos/systrace/)

URL: http://kerneltrap.org/OpenBSD/SELinux_vs_OpenBSDs_Default_Se...
Новость: http://www.opennet.me/opennews/art.shtml?num=12196

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Demimurych email on 26-Сен-07, 16:38 
Не вполне понял мысль. Пытаются сказать что нужно делать безошибочный код?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от _Nick_ email(??) on 26-Сен-07, 16:41 
очень похоже на то


только ведь ВСЕМ не ПРИКАЖЕШЬ писать правильный код :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Dvorkin email(??) on 26-Сен-07, 17:28 
короче, придраться не к чему. вот и выдумывают: правила не те, пишу не так... :)
когда SELinux выпустят фронтенд к своим патчам с двумя чекбоксами "безопасно" и "сильно безопасно" - будут критиковать за излишнюю простоту
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Аноним on 26-Сен-07, 23:29 
> выпустят фронтенд к своим патчам с двумя чекбоксами "безопасно" и "сильно безопасно"

Давно уже есть где чекбоксы ставить - system-config-selinux
тока их там побольше двух :)
а "безопасно" и "сильно безопасно" выбирается в выпадающем списке :)
Соответственно "целевая политика" и "строгая"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от ЩекнИтрч on 27-Сен-07, 05:23 
> писать правильный код :) ...

А как "правильный код" позволит задать правила редистрибуции документов?
Например, Маня может печатать и слать на мыло, группа Фени - просматривать, а группа Вени только печатать?

И так далее?

Что-то там ум за разум у койкого.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от cmp (??) on 27-Сен-07, 00:33 
Костылем это было костылем и останется, будем надеятся хватит ума не пихать эту хрень куда попало, чтобы потом не удалять
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от _Nick_ email(??) on 26-Сен-07, 16:40 
> В OpenBSD безопасность - атрибут кода и часть процесса разработки.

одно другому не мешает.
Что и показывает подход SELinux:
надежные программы - отлично

но ограничения со стороны ядра - лишь плюс к безопасности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Аноним on 26-Сен-07, 17:50 
AppArmor, вроде легче, его ща пытаются протолкнуть на включение.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Exe on 26-Сен-07, 22:39 
я хотел к gentoo прикрутить, так нигде ни слова про это :(. Оно тока в сусе и slackarmor. Да и что-то не особо мне понравилось. Лучше чем selinux(selinux с нуля конфигурить самоубийство), но есть принципиальные проблемы типа права к прогам привязаны к путям а не к лабелам. Имхо это скорее минус чем плюс.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Аноним on 26-Сен-07, 23:25 
> Лучше чем selinux(selinux с нуля конфигурить самоубийство

Никто с нуля selinux не конфигурит - есть Reference Policy (http://oss.tresys.com/projects/refpolicy) на которую перешли с 5-й Fedora.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Аноним on 29-Сен-07, 03:09 
в убунту apparmor будет
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Аноним on 26-Сен-07, 22:57 
На стандартных ситуациях писать свои политики незачем. И так > 200 стандартных процессов описано и предусмотрена куча т.н. "переключателей". Запускаем system-config-selinux и вперед кастомизируем политику под конкретные нужды/нестандартную конфигурацию в графике. Да и тупейшему audit2allow можно за пару часов выучиться и свой модуль без глубокого знания конструкций написать. В любом случае жэто будет лучше чем отключать selinux.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Аноним on 26-Сен-07, 23:56 
Глупость , ни кто ни чем не занимается. Два подхода к безопасности, в заметке нечётко расставлены интонации. Идея в проблеме чрезмерного усложнения системы ,что ведёт к увеличению возможности ошибки администратора, и снижения оной путём  более критичного отношения к безопасности при написании кода. Что в принципе правильно,как и призыв  "нет войне" все  понимают что  да , войне таки нет, но войны  все равно идут.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от serg1224 email on 27-Сен-07, 03:04 
Одно другого не исключает: можно и программы стараться писать без ошибок и создавать новые технологии безопасности.

Кстати, системы типа SELinux помогают предотвратить неописанные угрозы. Допустим некая программа написана без багов и реализует возможности некоего сетевого протокола на 100% в соответствии с неким RFC. И вот через годик обнаруживается дырка, но не в программе, а в протоколе!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Moralez (??) on 28-Сен-07, 12:01 
Всё это так же и к FreeBSD-шному MAC-у относится, за 2 года руки так и не поднялись настроить, т.к. мегагемор... Надеюсь OpenBSDшники придумают что-то лучше, на что потом все перейдут... :-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Аноним on 30-Сен-07, 06:35 
>Всё это так же и к FreeBSD-шному MAC-у относится, за 2 года
>руки так и не поднялись настроить, т.к. мегагемор... Надеюсь OpenBSDшники придумают
>что-то лучше, на что потом все перейдут... :-)

Вероятность этого недалека от вероятности того что миллион мартышек за печатными машинками напишут войну и мир.Это немного не те люди которые могут спроектировать что-то простое для конечного юзера.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Разработчики OpenBSD отвергают подход SELinux"  
Сообщение от Аноним (??) on 20-Апр-09, 10:11 
>Вероятность этого недалека от вероятности того что миллион мартышек за печатными машинками
>напишут войну и мир.Это немного не те люди которые могут спроектировать
>что-то простое для конечного юзера.

Ну про совсем конечных пользователей речь и не идёт, нужно всё-таки быть администратором системы. А вот придумать эти ребята много чего придумали: pf, OpenSSH и т.д. И система одна из лучших по части документированности!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру