forum.opennet.ru

Составление сообщения

Исходное сообщение

"В проект Owl добавлена поддержка OpenVZ и осуществлен перехо..."
Отправлено solardiz, 25-Ноя-09 13:23

> А есть ли какие-то планы по интеграции SELinux, AppArmor, TOMOYO ?
Пока что планы "отрицательные", по нескольким причинам, включая несовместимость с OpenVZ (не то чтобы принципиальную, но это дополнительная работа, код, риск). Решение, что OpenVZ просто "не совместима" с LSM, было принято еще в конце 2005-го года не без моего участия. Вероятно, когда поддержка контейнеров в большей степени вольется в mainstream ядра, их поддержка в Owl будет "переключена" на этот включенный код. Вероятно, разработчики mainstream ядер сделают "ту" поддержку безопасно (по их мнению) совместимой с LSM и ответственность будет "на них". Тогда этот аргумент отпадет.
> Как вы вообще к таким технологиям относитесь и насколько по вашему мода по их добавлению в дистрибутивы оправдана ?
Теория хорошая. Но я бы приступал к внедрению таких технологий только сначала исчерпав стандартные возможности Unix в своей же "базовой системе". Когда система даже толком не использует обычные file permissions биты, привнесение вылезающих за рамки традиционной Unix-модели средств безопасности выглядит преждевременным. Я бы лучше понял, если бы это делалось небольшим сторонним "security vendor'ом" для "фиксированного" популярного дистрибутива (уж какой ущербный дистрибутив есть, а мы его "залатаем"), но когда это делает компания-автор дистрибутива, такая расстановка приоритетов выглядит для меня нелогичной (хотя я понимаю как это происходит - интересы конкретных специалистов, причем уважаемых мной людей, а маркетинг уже потом подхватывает).
Из нашего опыта, для компонентов "базовой системы" (да и не только) можно добиться очень неплохих результатов стандартными средствами Unix, если их использовать "по полной". А с внедрением в ядро компонентов для реализации контейнеров удается пойти еще дальше - например, свежие версии vsftpd (кстати, включенного в Owl) уже как-бы частично загоняют части себя в "контейнер" (в той степени, в которой конкретное Linux-ядро это умеет) - это уже несколько больше, чем просто chroot в /var/empty.
> Еще было бы интересно услышать ваше мнение по поводу технологий повышения безопасности, представленных Google в Chromium OS.
Я не в курсе деталей. Информация на сайтах вызывает у меня согласие, как и люди кто за этим стоит. Среди прочего, там речь идет о применении как раз средств поддержки контейнеров, кстати, вошедших в mainstream ядра не без участия разработчиков OpenVZ. Да, кстати, автор vsftpd нынче работает в Google, разумеется в security team.

Исходное сообщение
"В проект Owl добавлена поддержка OpenVZ и осуществлен перехо..." Отправлено solardiz, 25-Ноя-09 13:23
> А есть ли какие-то планы по интеграции SELinux, AppArmor, TOMOYO ? Пока что планы "отрицательные", по нескольким причинам, включая несовместимость с OpenVZ (не то чтобы принципиальную, но это дополнительная работа, код, риск). Решение, что OpenVZ просто "не совместима" с LSM, было принято еще в конце 2005-го года не без моего участия. Вероятно, когда поддержка контейнеров в большей степени вольется в mainstream ядра, их поддержка в Owl будет "переключена" на этот включенный код. Вероятно, разработчики mainstream ядер сделают "ту" поддержку безопасно (по их мнению) совместимой с LSM и ответственность будет "на них". Тогда этот аргумент отпадет. > Как вы вообще к таким технологиям относитесь и насколько по вашему мода по их добавлению в дистрибутивы оправдана ? Теория хорошая. Но я бы приступал к внедрению таких технологий только сначала исчерпав стандартные возможности Unix в своей же "базовой системе". Когда система даже толком не использует обычные file permissions биты, привнесение вылезающих за рамки традиционной Unix-модели средств безопасности выглядит преждевременным. Я бы лучше понял, если бы это делалось небольшим сторонним "security vendor'ом" для "фиксированного" популярного дистрибутива (уж какой ущербный дистрибутив есть, а мы его "залатаем"), но когда это делает компания-автор дистрибутива, такая расстановка приоритетов выглядит для меня нелогичной (хотя я понимаю как это происходит - интересы конкретных специалистов, причем уважаемых мной людей, а маркетинг уже потом подхватывает). Из нашего опыта, для компонентов "базовой системы" (да и не только) можно добиться очень неплохих результатов стандартными средствами Unix, если их использовать "по полной". А с внедрением в ядро компонентов для реализации контейнеров удается пойти еще дальше - например, свежие версии vsftpd (кстати, включенного в Owl) уже как-бы частично загоняют части себя в "контейнер" (в той степени, в которой конкретное Linux-ядро это умеет) - это уже несколько больше, чем просто chroot в /var/empty. > Еще было бы интересно услышать ваше мнение по поводу технологий повышения безопасности, представленных Google в Chromium OS. Я не в курсе деталей. Информация на сайтах вызывает у меня согласие, как и люди кто за этим стоит. Среди прочего, там речь идет о применении как раз средств поддержки контейнеров, кстати, вошедших в mainstream ядра не без участия разработчиков OpenVZ. Да, кстати, автор vsftpd нынче работает в Google, разумеется в security team.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру