The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Упрощенная система принудительного контроля доступа для Linux

01.10.2007 22:41

Casey Schaufler представил в списке рассылки разработчиков Linux ядра упрощенную систему принудительного контроля доступа (MAC, Mandatory Access Control) для Linux.

Новая система названа Smack (Simplified Mandatory Access Control Kernel) и реализована через привязку меток к задачам и блокам данных (файлы, IPC, сетевые пакеты и т.д.) на уровне ядра.

В качестве достоинств системы отмечается реализация в виде LSM модуля не затрагивающего другие подсистемы ядра, минимальные требования к поддержке со стороны приложений и упрощенных подход к конфигурированию (управление через псевдо-ФС smackfs).

  1. Главная ссылка к новости (http://kerneltrap.org/Linux/Si...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/12273-kernel
Ключевые слова: kernel, mac, acl, patch, linux
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Сергей (??), 06:16, 02/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если уж совсем быть дотошным, то MAC это мандатный контроль доступа, основанный на классификации ресурсов по уровням конфиденциальности.

    Авторы новостей пишут лишь бы написать?

     
     
  • 2.3, fresco (??), 09:13, 02/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    ХЗ, ошибка ли это.
    mandatory  _
        1. _a. _
          1> мандатный _
          2> обязательный, принудительный; -
     
  • 2.4, Maxim Chirkov (ok), 09:44, 02/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Если уж совсем быть дотошным, то MAC это мандатный контроль доступа, основанный
    >на классификации ресурсов по уровням конфиденциальности.
    >
    >Авторы новостей пишут лишь бы написать?

    Я стараюсь использовать терминологию википедии:
    http://ru.wikipedia.org/wiki/Mandatory_Access_Control
    и FreeBSD HandBook http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

     
     
  • 3.7, fresco (??), 11:11, 02/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    И правильно делаете.
     
  • 3.9, Сергей (??), 06:52, 03/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Откройте любую книжку по безопасности. Mandatory как "принудительный" не совсем верно отражает суть понятия.
     
     
  • 4.10, Maxim Chirkov (ok), 09:01, 03/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Откройте любую книжку по безопасности. Mandatory как "принудительный" не совсем верно отражает
    >суть понятия.

    С другогй стороны в пользу "принудительного" идет противопоставление с DAC: Прнудительный контроль доступа (MAC) и Добровольный контроль доступа (DAC). Мандатный хорошо звучит в купе с дискреционным :-)

    Что касается книжек, то нашел старый, советских времен, словарь перевода компьютерных терминов, там MAC переводят как "обязательный", а "capability" как мандатный. В словаре по информатике MAC переводят как мандатный, вообщем путаница.

    Как мне кажется, здесь ситуация сходная с конкуренцией терминов "брандмауер" и "межсетевой экран".

     
     
  • 5.11, Andrey Mitrofanov (?), 10:49, 04/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >с конкуренцией терминов "брандмауер" и "межсетевой экран".

    Да нету никакой конкуренции %) --
    "Простое русское слово брандмауэр переводится с немецкого на английский как файервол."(тм)

     

  • 1.5, Michael Shigorin (ok), 10:35, 02/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, в последовавшем обсуждении были очень хорошо проиллюстрированы подходы к отбору кода и избежанию однобоких "преференций" там, где тема не отличается однозначным восприятием у разработчиков: http://kerneltrap.org/Linux/Pluggable_Security
     
  • 1.8, ABorland (?), 16:12, 02/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Апять изобретают велосипед
    в RSBAC все давно сделано
    и отлично работает
    объяснить нежелание Линуса включать данный функционал в ядро
    ,лично я могу, только конспирологическими измышлениями на тему
    "Большие корпорации нехотят делать ПОНАСТОЯЩЕМУ надежные системы внутренней безопасности".
    О том что LSM может использоваться для создания руткитов написано например здесь

    http://www.technewsworld.com/story/linux-software/39565.html

    Значит эта дыра в ядре комуто очень нужна

     
     
  • 2.12, Аноним (-), 22:38, 06/10/2007 [^] [^^] [^^^] [ответить]  
  • +/
    любые хуки в ядре можно использовать для руткитов, это не аргумент.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру