Разработчики grsecurity, известного набора патчей к Linux ядру, направленных на увеличение безопасности системы, обнаружение и предотвращение атак злоумышленников, объявили (http://grsecurity.net/news.php#grsec2112) о выходе возможно последнего релиза проекта. Решение о прекращении разработки связано с финансовыми трудностями у автора проекта, который больше не имеет возможности тратить свое время на развитие grsecurity, из-за прекращения финансирования компанией, поддерживающей проект с 2004 года. Если до 31 марта проекту не удастся найти нового спонсора, разработка будет прекращена.
Grsecurity 2.1.12 выпущен в виде патчей для Linux ядер 2.6.27.10 и 2.4.37. Некоторые возможности (http://grsecurity.net/features.php): реализация системы принудительного контроля доступа (RBAC), увеличение безопасности chroot, ограничения /proc, запрещение использования симлинков в /tmp, аудит происходящих в системе событий, реализация различных техник, мешающих успешному проведению атаки и предотвращ...URL: http://grsecurity.net/news.php#grsec2112
Новость: http://www.opennet.ru/opennews/art.shtml?num=19644
очень плохие вести
мда... сам уже давно пользуюсь gentoo-hardened ядро с этими патчами.
А зачем он нужен, если есть кошерный SELinux?
зачем сразу "дебил"? )) вы покажите - кто из серьёзных дистров использует продукт, который делает одиночка?Если за ним (за продуктом) не стоит серьёзное сообщество, которое продолжит поддержку продукта, после ухода одного-двух-трёх программистов, то нафиг такие продукты нужны? Вы посмотрите на sourceforge - там уже кладбище целое старых проектов, которые не пошли дальше версии 0.9 ...
>зачем сразу "дебил"? )) вы покажите - кто из серьёзных дистров использует
>продукт, который делает одиночка?Правильно он тебя назвал. О том, что представляют собой эти совершенно разные проекты написано здесь:
http://grsecurity.org/
http://ru.wikipedia.org/wiki/SELinux>
> Если за ним (за продуктом) не стоит серьёзное сообщество, которое продолжит
>поддержку продукта, после ухода одного-двух-трёх программистов, то нафиг такие продукты нужны?99% членов всех этих сообществ как правило не разбирается в коде. Без финансирования загнется любой проект, даже в нем будет участвовать миллион леммингов.
>Правильно он тебя назвал. О том, что представляют собой эти совершенно разные
>проекты написано здесь:
>http://grsecurity.org/
>http://ru.wikipedia.org/wiki/SELinuxну и ? ты сам то читал?
прочитай тогда тут:http://en.wikipedia.org/wiki/Grsecurity
http://en.wikipedia.org/wiki/Security-Enhanced_Linux>>
>> Если за ним (за продуктом) не стоит серьёзное сообщество, которое продолжит
>>поддержку продукта, после ухода одного-двух-трёх программистов, то нафиг такие продукты нужны?
>
>99% членов всех этих сообществ как правило не разбирается в коде. Без
>финансирования загнется любой проект, даже в нем будет участвовать миллион леммингов.ага, ЩАЗ. Скажи это разработчикам Debian
Ты не различаешь рандомизацию, защиту стека от переполнения и RBAC от реализации мандатного управления правами доступа? grsecurity и SELinux существенно отличаются друг от друга, даже по диффам ядра это видно.
Уважаемый.
Вы почитали бы документацию по SELinux. От авторов, так сказать. От Красно-шапочников. Ну или книжку О'Relly посвященную SELinux. И тогда бы узнали, что есть, есть в них RBAC. И мандатное управление тоже есть. И ещё много чего. Но тут, к несчастью, срабатывает горе от ума - чтобы "осилить" SELinux нужно приложить значительное усилие, так сказать. И чтобы настроить его - тоже. Но оно того стоит, на самом деле.
А что до дифов... ну разные дифы. Так и проекты разные. Вы не поверите, но у grsecurity и Linux RSBAC тоже дифы разные.
Да и защита стека реализуется на данный момент реализована в ядре.Поймите меня правильно, я не стремлюсь доказать, что GRS - никому не нужное г...но. Сам им пользуюсь временами, если нет времени/желания в данном конкретном случае возиться с монструозным SE. Но со смертью GRS мир не перевернётся и РБАК вкупе с защитой стека от переполнения в Линюхах не исчезнет.
>Уважаемый.
>Вы почитали бы документацию по SELinux. От авторов, так сказать. От Красно-шапочников.Всегда думал, что SELinux разработан в NSA (АНБ) и потом был передан в community. А RedHat просто поставляет его в своем дистре, не более чем все остальные.
>Ну или книжку О'Relly посвященную SELinux. И тогда бы узнали, что
>есть, есть в них RBAC. И мандатное управление тоже есть.RBAC (grsecurity) -- это не MAC (SELinux). Однако, в рамках MAC можно реализовать подобие RBAC. Но это далеко не главное достоинство grsecurity.
> И ещё много чего. Но тут, к несчастью, срабатывает горе от ума
>- чтобы "осилить" SELinux нужно приложить значительное усилие, так сказать. И
>чтобы настроить его - тоже. Но оно того стоит, на самом
>деле.
>А что до дифов... ну разные дифы. Так и проекты разные.
>Вы не поверите, но у grsecurity и Linux RSBAC тоже
>дифы разные.
>Да и защита стека реализуется на данный момент реализована в ядре.Вообще говоря, проект PaX, входящий в grsecurity, -- это не банальная защита стека от переполнения. Делает ли SELinux рандомизации адресного пространства, которые перечислены здесь: http://pax.grsecurity.net/docs/index.html ? Просто если PaX тоже загнется, то единственной открытой ОС с проактивной защитой подобного типа будет OpenBSD.
>[оверквотинг удален]
>А что до дифов... ну разные дифы. Так и проекты разные.
>Вы не поверите, но у grsecurity и Linux RSBAC тоже
>дифы разные.
>Да и защита стека реализуется на данный момент реализована в ядре.
>
>Поймите меня правильно, я не стремлюсь доказать, что GRS - никому не
>нужное г...но. Сам им пользуюсь временами, если нет времени/желания в данном
>конкретном случае возиться с монструозным SE. Но со смертью GRS мир
>не перевернётся и РБАК вкупе с защитой стека от переполнения в
>Линюхах не исчезнет.http://grsecurity.net/~spender/grsecurity_pax-influence.png -- а вам эта картинка знакома? если нет то посмотрите.
Попросил бы денег по donate, я бы ему 10 рублей выслал....И так небось ботагым бы стал, если учитывать Китайскую милостыню :)
Вот тут модеры посты удаляют,...Повторюсь, написал в OSDL, RedHat, IBM и Novell,
чтоб они не оставили голодыми бедьниких кодеров из grsecurity
и занялись спонсорством
--------Уж отписался,Charlie Peters и Paul Cormier из RedHat, мол рассмотрят...
>Уж отписался,Charlie Peters и Paul Cormier из RedHat, мол рассмотрят...Ого.Респекты тебе Павлин.
правильно сделал.
>Вот тут модеры посты удаляют,...
>
>Повторюсь, написал в OSDL, RedHat, IBM и Novell,
>чтоб они не оставили голодыми бедьниких кодеров из grsecurity
> и занялись спонсорством
>
>
>--------
>
>Уж отписался,Charlie Peters и Paul Cormier из RedHat, мол рассмотрят...Респект.
Респект это еслиб он отправил им денег. А то что та бабка сказала той бабке...
>Респект это еслиб он отправил им денег. А то что та бабка
>сказала той бабке...Думаю, что вряд ли он сможет отправить столько денег, сколько в проект смогут вложить вышеперечисленные организации, если захотят.
не знал что в тазике торвальдца есть, точнее уже были, зачатки RBAC'а О_о ну что сказать, красноглазые жгут. просрали что-то достойное и пяткой в грудь бьют за selinux. молодцом, продолжайте в том же духе. чтобы у меня и дальше не было желание пользоваться линупсом.
Вообще-то говоря, несколько реализаций RBAC-а и так есть в Линуксах.
А если вы об этом не знали - это:
1) Ваши половые трудности;
2) Показатель Вашего "профессионализма".
И знаете, я думаю, что никто не пострадает от того, что некий nanodemon (с ЛОТР-А судя по стилю поста) чем-то там не пользуется.
Ребят... Давайте скинемся по 100 рублей? Хочу, чтобы какой-нибудь уважаемый и надёжный человек отсюда создал счёт в интернет-банке, а мы вместе скинемся.
>Ребят... Давайте скинемся по 100 рублей? Хочу, чтобы какой-нибудь уважаемый и надёжный
>человек отсюда создал счёт в интернет-банке, а мы вместе скинемся.У многих проектов на сайтах есть характерные такие кнопочки и ссылочки "Donate" и т.п.. - кликайте наздоровье ;)
Ну, на это и расчёт. Только скинуться сначала бы, чтобы сумма приличная получилась, да стимул от такой акции будет больше, чем от молчаливой кнопки "Пожертвовать", которая не скажет, что делают в этот момент другие... Может, я вообще первооткрыватель этой кнопки. А по 100 рублей я написал потому, что при желании можно и больше, но не нужно. Кризис, убытки!
