The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"CyanogenMod интегрирует поддержку SELinux"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от opennews (??) on 21-Июл-13, 00:20 
Разработчики проекта CyanogenMod, в рамках которого независимым сообществом развивается альтернативная сборка платформы Android, объявили (http://www.cyanogenmod.org/blog/this-week-in-cm-july-19-13) о проведении работы по интеграции наработок SEAndroid (http://selinuxproject.org/page/SEAndroid) (Security Enhancements for Android) для добавления в развиваемую проектом прошивку средств принудительного контроля доступа SELinux (http://ru.wikipedia.org/wiki/SELinux).


SELinux разработан Агентством национальной безопасности США, входит в состав ядра Linux с 2003 года и уже достаточно давно поддерживается в таких дистрибутивах как Fedora,  Red Hat Enterprise Linux, Debian, Ubuntu,  openSUSE и SUSE  Linux Enterprise. Тем не менее, до сих пор средства контроля доступа SELinux не использовались в платформе Android, несмотря на то, что данная технологии изначально поддерживается ядром Linux, лежащим в основе данной мобильной платформы. В рамках проекта SEAndroid c начала 2012 года развивается набор дополнений и правил SELinux, учитывающих особенности архитектуры платформы Android и, в частности, модели запуска приложений и разделения привилегий между ними.


Внедрение SELinux позволит существенно повысить изоляцию системных приложений платформы Android, которым будет предоставлен только доступ к заявленным функциям и данным. Все нештатные операции будут блокироваться, что даст возможность предотвратить несанкционированные действия в случае взлома приложения в результате атаки. При текущей дискретной модели разделения привилегий, взлом системного сервиса, работающего с правами root, открывает для злоумышленника неограниченный доступ к платформе и данным пользователя. Активация SELinux позволит блокировать атаки на системные сервисы.


SELinux для Android отличается адаптацией компонентов пользовательского уровня для работы поверх системной библиотеки Bionic вместо Glibc, интеграцией в систему инициализации Android и сервис запуска новых процессов виртуальной машины, добавлением поддержки меток SELinux для файловой системы yaffs2, набором специфичных правил для системных сервисов Android и популярных сторонних приложений, таких как Skype.


Примечательно, что компания Google также работает над интеграцией правил разделения доступа на основе SELinux в Android, но пока не активирует их в основной платформе. Официальная поддержка SELinux ожидается в выпуске Android 4.3, который по неофициальным данным будет представлен 24 июля. Работа по интеграции  SELinux в CyanogenMod  ведётся независимо от Google.


URL: http://www.cyanogenmod.org/blog/this-week-in-cm-july-19-13
Новость: http://www.opennet.me/opennews/art.shtml?num=37470

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "CyanogenMod интегрирует поддержку SELinux"  –1 +/
Сообщение от Аноним (??) on 21-Июл-13, 00:20 
openpdroid будет не нужен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "CyanogenMod интегрирует поддержку SELinux"  –2 +/
Сообщение от Аноним (??) on 21-Июл-13, 00:36 
Я смотрю такими темпами они сделают свой независимый форк андроида? По теме: отличная новость
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "CyanogenMod интегрирует поддержку SELinux"  +3 +/
Сообщение от GG (ok) on 21-Июл-13, 12:30 
Они его давно уже сделали и пилят дальше
Независимость не означает же, что новые наработки нельзя перенимать из основной ветки
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "CyanogenMod интегрирует поддержку SELinux"  –4 +/
Сообщение от Аноним (??) on 21-Июл-13, 00:47 
>SELinux

Сколько не пытался, так и не осилил. Дальше ls -Z и chcon не прошёл.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "CyanogenMod интегрирует поддержку SELinux"  +8 +/
Сообщение от Аноним (??) on 21-Июл-13, 01:01 
Зачем о своём позоре публично писать?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "CyanogenMod интегрирует поддержку SELinux"  +2 +/
Сообщение от Анонище on 21-Июл-13, 01:01 
Ты еще GRSec RBAC  не видел, так что не расстраивайся.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "CyanogenMod интегрирует поддержку SELinux"  –3 +/
Сообщение от Аноним (??) on 21-Июл-13, 01:24 
Действительно, миндфак редкостный.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от John (??) on 21-Июл-13, 01:49 
>>SELinux
> Сколько не пытался, так и не осилил. Дальше ls -Z и chcon
> не прошёл.

Давно, когда еще использовал Fedora/CentOS, хотел попробовать, но как-то не дошли руки. 5 лет назад перешел на Gentoo. Переход начался с двух машин, на одной из которых изначально был развернут Gentoo с профилем hardened/linux/amd64/selinux. Все делал по документации с сайта Gentoo - все заработало. Была пара моментов с работой Java-приложений и mplayer, но они документированы и особых проблем не вызывают.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "CyanogenMod интегрирует поддержку SELinux"  –6 +/
Сообщение от Anonimus (??) on 21-Июл-13, 03:14 
"sudo setenforce 0" - это всё, что нужно знать о SELinux.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Толстельний троллллл on 21-Июл-13, 02:00 
SELinux это тоже самое что и apparmor? Объясните в чём разница
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Аноним (??) on 21-Июл-13, 02:33 
Разное. Но цель одна - безопасность.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Аноним (??) on 21-Июл-13, 11:02 
Разные системы, имеют маленько разное применение. Для десктопа - AppArmor лучше - проще, профилей больше, да и свой написать очень просто, достаточно в готовый заглянуть. Возможности, на мой скромный взгляд, достаточно богатые. Из проблем - поддерживается не всеми дистрибутивами.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "CyanogenMod интегрирует поддержку SELinux"  –1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 21-Июл-13, 12:24 
AppArmor дырявое гогно, by design. Оно не нужно
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

25. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Аноним (??) on 21-Июл-13, 12:32 
> AppArmor дырявое гогно, by design. Оно не нужно

И в чём это выражается?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

31. "CyanogenMod интегрирует поддержку SELinux"  –1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 21-Июл-13, 13:58 
обойти pathnames-based правила довольно просто, это защита примерно уровня 'от дурачков'. Не нужно сильно усложнять эксплоиты имея на руках конкретные полиси для apparmor.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

32. "CyanogenMod интегрирует поддержку SELinux"  +1 +/
Сообщение от Аноним (??) on 21-Июл-13, 14:07 
Не смешите меня. Список должен быть по whitelist, deny на что-то делать обычно вообще не требуется (зачем нам запрещать .ssh, если у нас в принципе нет разрешения на @{HOME}?).
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "CyanogenMod интегрирует поддержку SELinux"  +1 +/
Сообщение от Аноним (??) on 21-Июл-13, 16:50 
Я вас огорчу, попробуйте обойти pathnames-based в AppArmor и посмотрите как это работает
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

10. "CyanogenMod интегрирует поддержку SELinux"  –2 +/
Сообщение от Tav (ok) on 21-Июл-13, 02:39 
А потом их наработки интегрирует Гугл и производители устройств, что сильно затруднит джейлбрейк.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "CyanogenMod интегрирует поддержку SELinux"  +12 +/
Сообщение от arisu (ok) on 21-Июл-13, 06:30 
> А потом их наработки интегрирует Гугл и производители устройств, что сильно затруднит
> джейлбрейк.

а зачем тебе джейлбрэйк?

странные люди: сначала поддерживают своими деньгами конторы, помешаные на огорожености, а потом рыдают, что джэйлбрейки сложные.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

28. "CyanogenMod интегрирует поддержку SELinux"  –2 +/
Сообщение от Tav (ok) on 21-Июл-13, 13:27 
В общем, вы правы. Когда-то давно покупал дешевый телефон с Андроидом, вариантов без залоченного загрузчика не было. Сейчас, говорят, с этим лучше, но у меня уже аппарат с Файрфокс ОС. В Андроиде все равно разочаровался: система свободна по сути только для производителей, на устройствах проприетарные модификации оригинальной прошивки, и даже с Цианогеном для полноценного использования приходиться ставить проприетарный гугловский Маркет
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

33. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от anonymous (??) on 21-Июл-13, 16:22 

> у меня уже аппарат с Файрфокс ОС.

И как?

и даже с Цианогеном для полноценного использования
> приходиться ставить проприетарный гугловский Маркет

Только если нужны платные приложения оттуда.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Tav (ok) on 22-Июл-13, 02:52 
> И как?

У меня Keon. Приятно после прошлого телефона с CM7 (ничего новее на нем не работало). Приложений пока не так много, как для Андроида. Лично мне не хватает нормального клиента к OpenStreetMap.

Границы между сайтами и приложениями размыты, любой сайт может быть добавлен в меню как приложение, а приложения делаются на основе веб-технологий. Может быть, это отучит некоторых делать специальные приложения для мобильных ОС вместо нормальной мобильной версии сайта.

Интересная особенность интерфейса: помимо меню с установленными приложениями есть еще онлайн каталог с поиском сайтов-приложений, которые запускаются без установки (Adaptive App Search, тут показано: https://www.mozilla.org/en-US/firefox/os/).

В системе четко выделены три слоя: ядро+HAL (Gonk), рантайм (Gecko) и оболочка (Gaia). Gaia легко переустанавливается отдельно от всего остального: несколько раз собирал версии из git, например, чтобы добавить функцию импорта контактов из vcard, которой не было в фабричной прошивке, и просто ради интереса.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

40. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Tav (ok) on 22-Июл-13, 03:56 
> Границы между сайтами и приложениями размыты

На самом деле, я не уверен, что это хорошо, хотя в какой-то мере это противодействует проприетарным магазинам приложений.

Надежнее всего получать все ПО из небольшого количества доверенных источников — репозиториев, содержащих подписанные пакеты собранные из исходного кода майнтейнерами дистрибутива.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

35. "CyanogenMod интегрирует поддержку SELinux"  +1 +/
Сообщение от Crazy Alex (ok) on 21-Июл-13, 19:06 
А я вот без маркета живу - на андроидфоне вообще учетка гугла не подвязана. Софт - вообще только открытый, с f-droid.org - и вполне нормально себя чувствую.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

42. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Tav (ok) on 22-Июл-13, 04:11 
Да, f-droid — хороший вариант.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "CyanogenMod интегрирует поддержку SELinux"  –1 +/
Сообщение от Аноним (??) on 22-Июл-13, 00:54 
Под вопросом такого рода свобода в фаерфокс ОС. Он позиционируется как еще более свободная для производителей ОС, т е еще и свои сервисы можно пихать. Где там свобода пользователя время покажет.
ПС: юзаю андроид как и Crazy Alex без проприетарных надстроек, но цианогенмод не работает, т к дрова закрыты. Сейчас самый большой враг свободы - производители железа, имхо. Т е последние проблемы для меня их дрова (их отсутствие) и навязывание определенного софта вместе с железом.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

41. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Tav (ok) on 22-Июл-13, 04:08 
> Под вопросом такого рода свобода в фаерфокс ОС. Он позиционируется как еще
> более свободная для производителей ОС, т е еще и свои сервисы
> можно пихать. Где там свобода пользователя время покажет.

Да, у меня тоже на этот счет есть опасения.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

26. "CyanogenMod интегрирует поддержку SELinux"  –1 +/
Сообщение от Аноним (??) on 21-Июл-13, 12:33 
> А потом их наработки интегрирует Гугл и производители устройств, что сильно затруднит
> джейлбрейк.

Не совсем в теме, но там же root вроде штатно через adb можно получить?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

30. "CyanogenMod интегрирует поддержку SELinux"  +1 +/
Сообщение от Аноным (ok) on 21-Июл-13, 13:38 
Джейлбрейки - это вам айФон.
А с Андроидом просто нужно нормальные аппараты брать, лучше всего Нексусы.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

36. "CyanogenMod интегрирует поддержку SELinux"  +1 +/
Сообщение от Crazy Alex (ok) on 21-Июл-13, 19:09 
По нынешним временам - если не для понтов, то лучше всего брать китайцев. Есть несколько контор (THL тот же), которые уже наработали репутацию и делают очень пристойные (и дешевые) железки. Локи они туда в принципе не суют.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

43. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от ffirefox on 22-Июл-13, 15:52 
1. Китайцы хороши тем, что просто дешевые и, в принципе, качество тоже можно найти,... НО!
2. Cyanogenmod очень плохо поддерживает китайцев.
3. Прошивки китайцы практически не выкладывают в исходниках, поэтому проверить их принципы очень затруднительно. А верить на слово в наше время торжества IT технологий ...
4. Поддерживаются производителями китайские изделия ну очень не долго.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

47. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Crazy Alex (ok) on 22-Июл-13, 18:44 
Как минимум у THL качество стабильно хорошее, насмотрелся уже на кучу его изделий.

Насчет цианогена - там обычно проблема в том, что оно никому не нужно. В том числе, кстати, и потому что родные прошивки у них очень даже на уровне, с мощным инженерным меню и т.п. Но да, это недостаток.

Прошивки - согласен.

А вот поддержка - тот же THL прошивки вываливает вполне старательно, включая смену версий андроида. И, черт возьми, баги там очень даже фиксятся, всем бы "большим брендам" так.

Тьфу, пост как реклама смотрится - но они меня сильно впечатлили.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

12. "CyanogenMod интегрирует поддержку SELinux"  –2 +/
Сообщение от Daemon (??) on 21-Июл-13, 03:17 
Уж лучше OpenBSD на смарты портируйте
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "CyanogenMod интегрирует поддержку SELinux"  +7 +/
Сообщение от arisu (ok) on 21-Июл-13, 06:31 
> Уж лучше OpenBSD на смарты портируйте

портируй. не понимаю, кто тебе запрещает это делать.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Нанобот on 21-Июл-13, 08:48 
Вот сами и портируйте, раз вам нужно
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "CyanogenMod интегрирует поддержку SELinux"  –1 +/
Сообщение от Аноним (??) on 21-Июл-13, 09:22 
И зачем? Лучше бы AppArmor. С этим творением на телефоне разбираться никто не будет, а AppArmor простой и правила к нему писать легко.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "CyanogenMod интегрирует поддержку SELinux"  +1 +/
Сообщение от BratSinot (ok) on 21-Июл-13, 09:51 
Правильно никто разбираться не будет, потому-что поставил и пользуйся.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "CyanogenMod интегрирует поддержку SELinux"  –1 +/
Сообщение от Аноним (??) on 21-Июл-13, 09:57 
> Правильно никто разбираться не будет, потому-что поставил и пользуйся.

Ага, а профили сами написались ;-)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Аноним (??) on 21-Июл-13, 11:11 
Может мне кто-то объяснит как именно дело обстоит. Есть этот жроид, который использует виртуальную машину и байт-коды всякие. Как преимущество, в своё время, задвигали про работу на любой железке и изоляцию(ака безопасность) процессов. А теперь получается что ограничений в виртуальной машине недостаточно. Надо ещё и селинух задействовать. В этом я прав? И если да, то что будет дальше? Они портируют от бимеров виртуализатор который в майнфреймах стоит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "CyanogenMod интегрирует поддержку SELinux"  +2 +/
Сообщение от kurokaze (ok) on 21-Июл-13, 23:35 
>что будет дальше?

Наступит осень и ты пойдешь в пятый класс

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

46. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от Аноним (??) on 22-Июл-13, 16:42 
Проецируешь на меня свои комплексы? Расскажи какая у тебя трагедия связана с 5 классом. Виндузятники одноклассники нанесли тебе побои по тупому предмету? Или макинтошники поёмали провели процесс инициации в свою веру?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

44. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от ffirefox on 22-Июл-13, 16:05 
Принципы любой защиты очень просты:

1. Трудоемкость вскрытия защиты должна быть больше, чем профит от полученного результата. (Это от профессиональных взломщиков)

2. Времени, которое потратит взломщик на преодоление защиты, должно хватать на то, чтобы засечь средствами мониторинга (которых, тоже должны быть в правильном количестве и качестве) и отреагировать (т.е. наличие резервов, воли и длинной руки). (Это от любителей ломать для души)

3. Не верьте людям. (А особенно недобросовестному безопаснику/защитнику)


Поэтому предела безопасности не будет. SELinux не последний рубеж т.к. у него тоже могут быть (есть) уязвимости.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

45. "CyanogenMod интегрирует поддержку SELinux"  +/
Сообщение от arisu (ok) on 22-Июл-13, 16:08 
> 3. Не верьте людям.

…а особенно — себе самому. вдвойне не надо верить, если начинаешь говорить о безопасности. потому что Оно уже т~~~

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

21. "CyanogenMod интегрирует поддержку SELinux"  –1 +/
Сообщение от Nmae on 21-Июл-13, 11:45 
"...  подобных PRISM, так как код был многократно проверен и подвергнут независимому аудиту, ..."  кем проверен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "CyanogenMod интегрирует поддержку SELinux"  +5 +/
Сообщение от arisu (ok) on 21-Июл-13, 12:14 
> кем проверен?

точно не тобой. и это хорошо.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру