The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Компания Canonical повторила попытку интегрировать AppArmor ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от opennews on 20-Фев-10, 00:19 
Компания Canonical, продвигающая AppArmor (http://apparmor.wiki.kernel.org/)  в Ubuntu, в роли более простого в настройке аналога системы определения политик безопасности SELinux, предприняла (http://permalink.gmane.org/gmane.linux.kernel.lsm/10443) повторную попытку инициирования процесса интеграции AppArmor в основную ветку Linux ядра. Прошлая попытка была осуществлена в 2007 году компанией Novell, но привела лишь к критике (http://www.opennet.ru/opennews/art.shtml?num=11280) со стороны некоторых авторитетных разработчиков Linux ядра.


Основные претензии сводились к недостаточной совместимости с интерфейсом LSM и излишней привязке к файловому пути, вместо реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее замечания и подготовили улучшенный вариант AppArmor, переработанный в плане использования стандартных LSM (Linux Security Modules) хуков (задействовали security_path вместо vfs), что повышает привлекательность...

URL: http://permalink.gmane.org/gmane.linux.kernel.lsm/10443
Новость: http://www.opennet.ru/opennews/art.shtml?num=25506

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от Zenitur email on 20-Фев-10, 00:19 
Ну и зачем... Есть же удобнейший способ наложить патчи на ядро... При условии, что существует огромное количество полезнейших комплектов патчей отдельно от ярда, и что пользователи эти подборки любят и устанавливают, ничего удивительного в отсутствии AppArmor в основном коде ядра я не вижу. AppArmor не является очень востребованной возможностью, ядро справляется не хуже. А кому надо - те установят
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +4 +/
Сообщение от аноним on 20-Фев-10, 00:39 
Зря вы так.
Это на стоящем на шкафу стареньком пеньке, раздающем инет на маленький офис, можно один раз ядро пропатчить и забыть.
А если речь идет о полноценном промышленном применении, на первый план выходит прежде всего сопровождение ядра и устранение уязвимостей. При завязанности инфраструктуры на внешние патчи приходится сопровождать свою версию ядра, что вызывает рост накладных расходов, снижение оперативности реакции на угрозы и т.п. Очень часто бывает проще сделать что-нибудь на костылях, чем призывать этот гемор на свою задницу.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +3 +/
Сообщение от аноним on 20-Фев-10, 00:33 
Посмотрим, как у них это пойдет.
Если инициатива провалится - лично я переживать не буду. Голова на плечах есть, поэтому SELinux настроить не проблема.

Судя по тому, что говорят спецы, он все равно лучше защищает, чем AppArmor.

А как там сейчас RSBAC и прочие grsecurity поживают? В мейнстрим не просятся?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Компания Canonical повторила попытку интегрировать AppArmor ..."  –6 +/
Сообщение от demimurych email on 20-Фев-10, 02:18 
> Если инициатива провалится - лично я переживать не буду. Голова на плечах есть, поэтому SELinux настроить не проблема.

А ну как нобелеевский лауреат, подымите как мне типичны офисный комплект с SELinux.
Не тужтесь.  У вас это не выйдет. Разве что с правилом разрешить все.

А вот с AppArmor это на раз два.

Это я не к тому, чтобы поспорить что круче, а к тому чтобы не множили мифы о простоте применения SELinux

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +1 +/
Сообщение от Slavaz (ok) on 20-Фев-10, 02:49 
>> Если инициатива провалится - лично я переживать не буду. Голова на плечах есть, поэтому SELinux настроить не проблема.
>А ну как нобелеевский лауреат, подымите как мне типичны офисный комплект с
>SELinux.

Что есть "офисный комплект" в вашем понимании?

>Не тужтесь.  У вас это не выйдет. Разве что с правилом  разрешить все.

Почему такая увереность, что у НЕГО это не выйдет?

>А вот с AppArmor это на раз два.

ORLY?

>Это я не к тому, чтобы поспорить что круче, а к тому
>чтобы не множили мифы о простоте применения SELinux

Есть просто непонимание сути SELinux. Отсюда и мифы и легенды о простоте или сложности SELinux :(

http://video.yahoo.com/watch/5673078/14869483 - извиняюсь, немного неформальный доклад получился.

Если надо - могу опубликовать материалы доклада (текстовку и презентацию).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от iv on 20-Фев-10, 15:37 
> Если надо - могу опубликовать материалы доклада (текстовку и презентацию).

Если есть такая возможность, было бы интересно почитать

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от Slavaz (ok) on 20-Фев-10, 17:24 
>> Если надо - могу опубликовать материалы доклада (текстовку и презентацию).
>Если есть такая возможность, было бы интересно почитать

текст: http://www.midnight-commander.org/nopaste/LVEE-2009/doklad.odt
презентация: http://www.midnight-commander.org/nopaste/LVEE-2009/doklad.odp

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от iv on 24-Фев-10, 17:15 
Благодарю!
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Компания Canonical повторила попытку интегрировать AppArmor ..."  –1 +/
Сообщение от anonyms on 20-Фев-10, 02:32 
Если кто знает, объясните нубу: AppArmor позволит реализовать что-то вроде фаервола с фильтрацией трафика в зависимости от приложения? То-есть сейчас имеем iptables - это packet filter, может фильтровать пакеты, разрешать/блокировать трафик по портам и протоколам и так далее, но понятия не имеет от каких программ исходит этот траффик; а будем иметь какой-нибудь apfilter, в котором, если указать опцию "запретить wget доступ к сети", то wget уже не сможет пробиться в сеть, даже с правами рута (но рут, при желании, может изменить это правило, как и с iptables)???
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +1 +/
Сообщение от pavlinux (ok) on 20-Фев-10, 03:55 
>позволит реализовать что-то вроде фаервола с фильтрацией трафика

:)

> если указать опцию "запретить wget доступ к сети", то wget уже не сможет пробиться в сеть,

chmod 750 /usr/bin/wget
groupadd grwget

for i in `cat /etc/passwd | cut -d: -f1`;
do
    groupmod -A $i grwget;
done
groupmod -R baduser grwget;

>но рут, при желании, может изменить это правило,

groupmod -A baduser grwget;


---
P.S. Зачем запрещать что-то делать, когда можно запретить всё.

И вообще, кроме вигета есть туева хуча методов по выкачиванию файла.
Бесполезно запрещать смотреть на работе порнуху, видео и музыку методом запрещения сайтов - легче выгнать нах... сотрудника.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Компания Canonical повторила попытку интегрировать AppArmor ..."  –2 +/
Сообщение от anonyms on 20-Фев-10, 05:10 
>

Бесполезно запрещать смотреть на работе порнуху, видео и музыку методом запрещения сайтов - легче выгнать нах... сотрудника.

Это точно. А также лучшее средство от головной боли - топор.

Кстати, вы на вопрос-то так и не ответили.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от Max (??) on 20-Фев-10, 06:34 
AppArmor - это подсистема, которая "следит" за тем что делает приложение, точнее не дает приложению делать то что ему нельзя. Например, если огнелису будет разрешено использовать только сеть и запись в определенную директорию, то попытка совершить какое-либо действие отличное от этих двух приведет к его блокированию.

http://ru.wikipedia.org/wiki/AppArmor

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +1 +/
Сообщение от twilight (ok) on 20-Фев-10, 06:34 
> AppArmor позволит реализовать что-то вроде фаервола с фильтрацией трафика в зависимости от приложения?

тяжелое наследие ос вендоз...
Открыть хотя бы педивикию для ликбеза не судьба?

На пальцах: SL, AppA - определяют разрешенный контекст, в котором ПО будет функционировать. Есть браузер, значит ему доступно ходить в сеть, только читать /usr/bin/browser, писать в /tmp, ~/.browser. А остальное - нельзя. В случае, если браузер хакнут, то ОС будет уязвима до пределов правил браузера, а не целиком.

> а будем иметь какой-нибудь apfilter, в котором, если указать опцию "запретить wget доступ к сети", то wget уже не сможет пробиться в сеть.

а зачем тогда вообще wget установлен? У него основная задача данные из сети качать.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от Аноним (??) on 20-Фев-10, 13:04 
>тяжелое наследие ос вендоз...

это реальная проблема и виндовс тут не причем.
у людей и у меня в том числе есть потребность запрещать/разрешать трафик только определенным приложениям. что в этом такого? фильтрация на L3,L4 - это прошлый век, на рутерах сгодиться, но не для защиты информации.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от Аноним (??) on 20-Фев-10, 18:27 
> у меня в том числе есть потребность запрещать/разрешать трафик только определенным приложениям. что в этом такого?

Что помешает пользователю написать своё приложение? perl < user.app

Вам тогда нужно запрещать всё, а разрешать только некоторым бинарным программам, причём всем интерпретаторам (perl, python, и т.д.) следует запретить. Помоему такой изврат можно сделать и через capabilities.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от twilight (ok) on 22-Фев-10, 14:51 
>>тяжелое наследие ос вендоз...
>
>это реальная проблема и виндовс тут не причем.
>у людей и у меня в том числе есть потребность запрещать/разрешать трафик
>только определенным приложениям. что в этом такого? фильтрация на L3,L4 -
>это прошлый век, на рутерах сгодиться, но не для защиты информации.
>

Педивикия гласит:
"На самом деле, TCP- или UDP-пакеты всегда содержат два поля номера порта: отправителя и получателя. Тип обслуживающей программы определяется портом получателя поступающих запросов, и этот же номер является портом отправителя ответов. «Обратный» порт (порт отправителя запросов, он же порт получателя ответов) при подключении по TCP определяется клиентом произвольно (хотя номера меньше 1024 и уже занятых портов не назначаются), и для пользователя интереса не представляет. Использование обратных номеров портов в UDP зависит от реализации."

Есть проблема в фильтрации UDP трафика, в остальных случаях номера порта достаточно, чтобы фильтрануть софт.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от JL2001 (ok) on 22-Фев-10, 15:20 
и как это поможет определить кто из программ запросил по 80 порту файл www.pupkin.org/troian.gz ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от XoRe (ok) on 20-Фев-10, 12:48 
>Если кто знает, объясните нубу

Скажем так.
Это он тоже может)

А дальше, не поленитесь заглянуть в википедию)
Ну или тут в теме есть ссылка не непплохую видео презентацию SElinux.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Компания Canonical повторила попытку интегрировать AppArmor ..."  –7 +/
Сообщение от pavlinux (ok) on 20-Фев-10, 03:47 
> недавно добавили в парсер AppArmor поддержку
> кэширования правил, что позволило значительно
>ускорить процесс инициализации во время загрузки.

Недавно добавили большой тормоз, что бы потом
имитировать бурную деятельность, да бы всё увидели,
что они типа крутышы-бубнтушы.
  

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от szh (ok) on 20-Фев-10, 05:04 
есть какие-нибудь конкретные факты или просто захотелось безосновательно покакать на нелюбимый дистрибутив ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от pavlinux (ok) on 20-Фев-10, 14:50 
>есть какие-нибудь конкретные факты или просто захотелось безосновательно
>покакать на нелюбимый дистрибутив

Факты они сами предоставили, - Впиндюрили АА, оно начало тормозить,
решили кэшировать правила - ускорились. Стоим на месте.

Толку от этого Аррармора, ... посмотреть на лог-файл, с восторгом какой я крутой
"- у меня дома работает MAC-защита"?  исчо надо PAM/ACL/RBAC - что б случайно
забежавший на клаву таракан не запустил брузер, открыл доступ к счетам банке, и
не перевел, чисто случайно, все средства в GreenPeace..

Ну увидел, что какой-то гад, просматривал /etc/passwd, и пытался shadow...
Что дальше-то? Будешь менять имена у всех логинов? Удалить пользователя? Так другой появится.
На серверах, АА точно бесполезная вещь.

Ну и во-вторых, для Убунтушных чайников нужна, как они говорят, "интуитивно понятная" морда, так как мозга нет, одна интуиция.
Они же редактор ниасилят и впадут в депресию, после чего аппармор окончательно выкинут. :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от pir8te on 20-Фев-10, 17:40 
это вот ты зря сейчас оскорбил User294
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +1 +/
Сообщение от rico on 20-Фев-10, 20:58 
я вот только сильно не пойму, отчего такие сильные наезды?

оно тебе мешает?
тормоза тебе мешают? ну дрочи на свою слаку-федору-генту-или-что-ты-там-юзаешь-что-быстрее-убунты, не мешай это делать другим, онанизм - это ж дело такое, интимное =)

люди дело делают, руководства пишут, имеют наглость достучаться до неподготовленной аудитории

синтаксис AppArmor немного проще такового в SELinux
да в конце-концов - кому как, кому проще, кому приятнее

и кстати да - по поводу толка - что-то здесь пока никто не видел твоих личных изысканий на эту тему

ну а по моему личному опыту про то, что
> "интуитивно понятная" морда, так как мозга нет,

обычно говорят программеры, которые ну ни разу в жизни не сделали _сами_ без удара кулака манагера толковый интерфейс к приложению (типа интуитивный)

ибо наклепать комманд-лайн опций - это да, многие могут (впрочем даже тут встречаются индивиды...)

а вот как гуй в линухе - так да, "быдлоубунтеры, закройтесь"

все, что можете чтоль?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от MiG on 21-Фев-10, 15:35 
А везде ли нужен этот гуй? Гуй не показатель качества программы. Хотя к _сожалению_, у обывателя и манагера в основном представление, что чем лучше гуй, тем лучше прога.

Вот сделали компиз и что? Народ в большинстве своём поигрался и отключил его. А скока сил программёров на это ушло?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +1 +/
Сообщение от rico on 21-Фев-10, 18:28 
читаем хорошо?
слово "везде" где усмотрел ?

и опять же, отучаемся говорить за большинство

насчет программеров, которые из сил выбивались
их, собственно, никто и не заставлял, они на себя и работали
люди так учатся писать программы, флаг им в руки

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от szh (ok) on 20-Фев-10, 21:39 
> Факты они сами предоставили, - Впиндюрили АА, оно начало тормозить, решили кэшировать правила - ускорились. Стоим на месте.

Ты сам то веришь в то что сказал ? По мне так просто ругатся хочешь.

На месте никто не стоит, apparmor можно не включать/отключать.
Таким образом
1) когда он отключен - ничего не тормозит.
2) когда включен - теперь работает быстрее чем раньше. СПАСИБО Ubuntu за это! (ты не подавился когда это прочитал ?)

> Толку от этого Аррармора, ... посмотреть на лог-файл, с восторгом какой я крутой

нет, ограничить доступ, а не смотреть в лог файл. Может ты вообще не понимаешь что это такое ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от pavlinux (ok) on 21-Фев-10, 00:13 
>Может ты вообще не понимаешь что это такое ?

Слухай, а ты правильно сказал... Я действительно не понимаю что это такое.

1.
4 можно получить, как 2 + 2, 2*2, 2^2, 2*exp(ln(2)),...
Аpparrmor это наверно вариант 4-ки, через int(8*x*exp(-x^2), x = 0 .. infinity);

2.
Мне не нужен AutoCAD чтоб начертить 17-угольник вписанный в окружность,
и тем более он не нужен, если эту операцию производить каждый день.

3.
Единственное применение AA - это общественное SSH/Telnet/rsh/rlogin пастбище,

4.
Приведите пример конфигурации, где такое пастбище является единственным выходом,
для решения проблемы. Любительские междусобойчики не считается - это развлекуха.

5.
1-й Закон Амерекосского бизнеса - для того чтобы товар покупали, надо создать проблему, которую можно решить с помощью данного товара.

6. Как вы раньше жили без АА? Плохо? Нет! Так какого х..я он вдруг стал нужен?
   И так далее, по нисходяшей, до колеса и каменного топора.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от pavlinux (ok) on 21-Фев-10, 00:27 
> 2*exp(ln(2))

Опа, и правда четверка ... :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от rico on 21-Фев-10, 10:48 
4. Видимо, есть еще публичные веб-серверы, 0day уязвимости, и целая тонна быдлопрограммеров. К слову, единственным выходом для решения любой проблемы является виселица. А в системе безопасности RBAC - не выход а дополнительная ступень защиты.

5. Вообще в принципе применимо ко всему, даже к твоей непосредственной работе (и я это говорю, даже не задумываясь о том, кем ты работаешь).

6. Мы и раньше использовали, никто же не виноват, что ты об этом не знал.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от pavlinux (ok) on 21-Фев-10, 14:42 
>4. Видимо, есть еще публичные веб-серверы, 0day уязвимости, и целая тонна быдлопрограммеров.
>К слову, единственным выходом для решения любой проблемы является виселица. А
>в системе безопасности RBAC - не выход а дополнительная ступень защиты.

AppArrmor не Role Based, а Mandatory

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от rico on 21-Фев-10, 18:33 
>>4. Видимо, есть еще публичные веб-серверы, 0day уязвимости, и целая тонна быдлопрограммеров.
>>К слову, единственным выходом для решения любой проблемы является виселица. А
>>в системе безопасности RBAC - не выход а дополнительная ступень защиты.
>
>AppArrmor не Role Based, а Mandatory
>

и это, я бы сказал, отнюдь не минус... но не суть...
оно живет, _отличается_, а значит - в войне стандартов будут игроки, а не диктатор

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от szh (ok) on 22-Фев-10, 00:30 
> 1) 4 можно получить, как 2 + 2, 2*2, 2^2, 2*exp(ln(2)), Аpparrmor это наверно вариант

Аппармор к этим твоим мат упражнениям отношения не имеет

> 2 Мне не нужен AutoCAD чтоб начертить 17-угольник вписанный в окружность, и тем более он не нужен, если эту операцию производить каждый день.

не нужен - не используй. Тебя не заставляют. Даже в убунту.

> 3 Единственное применение AA - это общественное SSH/Telnet/rsh/rlogin пастбище,

применений технологий такого типа миллион.

> 4 Приведите пример конфигурации, где такое пастбище является единственным выходом, для решения проблемы.  

Для чего? Почему единственным ?

> 5. 1-й Закон Амерекосского бизнеса - для того чтобы товар покупали, надо создать проблему, которую можно решить с помощью данного товара.

Аппармор не имеет отношения к рассуждениям в стиле задорнова. Аппармор - это технология решающая существующие проблемы безопасности которые были за много лет до появления Аппармор.

> 6. Как вы раньше жили без АА? Плохо? Нет! Так какого х..я он вдруг стал нужен?

Как вы раньше жили без компьютера? Плохо? Нет! Так какого х..я он вдруг стал нужен?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

46. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от pavlinux (ok) on 22-Фев-10, 05:07 
>> 1) 4 можно получить, как 2 + 2, 2*2, 2^2, 2*exp(ln(2)), Аpparrmor это наверно вариант
>Аппармор к этим твоим мат упражнениям отношения не имеет
>не нужен - не используй. Тебя не заставляют. Даже в убунту.
>Аппармор не имеет отношения к рассуждениям в стиле задорнова.
>Как вы раньше жили без компьютера?

А кроме как, "к твоим, тебя, в твоём, вы, тебе" есть что сказать? :)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от szh (ok) on 22-Фев-10, 11:21 
я отвечаю на твой пост наполненный неверными ассоциациациями и утверждениями. Ожидаешь в ответ лекцию ?

Повторюсь:

1) применений технологий такого типа миллион.
2) Аппармор - это технология решающая существующие проблемы безопасности которые были за много лет до появления Аппармор.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Компания Canonical повторила попытку интегрировать AppArmor ..."  –1 +/
Сообщение от Basiley (ok) on 20-Фев-10, 07:59 
в Canonical проспали интеграцию Tomoyo в 2.6.30 и выше ?
или чем-то им полюбилась deprecated реализация SELinux, aka AppArmor ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от szh (ok) on 20-Фев-10, 12:31 
> или чем-то им полюбилась deprecated реализация SELinux, aka AppArmor ?

разберись о чем рассуждаешь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от kmsvs email on 20-Фев-10, 11:46 
кто здесь грамотный - разжуйте, как конкретному бинарнику запретить или разрешить доступ по сети к конкретному адресу и порту независимо от имени пользователя?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от сабакка on 20-Фев-10, 12:26 
>кто здесь грамотный - разжуйте, как конкретному бинарнику запретить или разрешить доступ
>по сети к конкретному адресу и порту независимо от имени пользователя?
>

http://www.tresys.com/brickwall.php

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от Аноним (??) on 20-Фев-10, 18:32 
>кто здесь грамотный - разжуйте, как конкретному бинарнику запретить или разрешить доступ
>по сети к конкретному адресу и порту независимо от имени пользователя?

А вариант на бинарник guid бит и проверять в файрволе группу процесса не подходит?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от bircoph on 21-Фев-10, 10:33 
>А вариант на бинарник guid бит и проверять в файрволе группу процесса
>не подходит?

Этот вариант плох тем, что после первого же обновления бинарника ограничение перестаёт работать. Нужно либо всё время следить за guid-битами (за полгода вы с этим точно запаритесь), либо вообще ставить свою сборку пакета, в которую добалено выставление нужного бита, что ещё хуже.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +1 +/
Сообщение от Иван (??) on 20-Фев-10, 12:00 
Или по другому: зачем распылять усилия и создавать помойку? Есть уже решения, которые по тем или иным параметрам разработчиков больше устроили. Либо вы поддерживаете это, тогда не изобретаетет свое колесо, либо делаете свое, но тогда не проситесь в майнстрим, т.к. там и так много чего есть. Реально хлам создают.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от szh (ok) on 20-Фев-10, 12:33 
> Есть уже решения, которые по тем или иным параметрам разработчиков больше устроили.

подмена понятий. Кто такие разработчики ?

Разработчиков НЕустроили существующие решения, и они сделали подходящее, и хотят в мейнстрим.

> Реально хлам создают.

и где обоснование ? реально хлам, а не критика.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от proctor on 20-Фев-10, 17:42 
это чо тогда надо выкинуть все планирофщики и все фс из ядра, и оставить одну на ваш взгляд православную? Нет уж нам нужен выбор, нам нужно много выбора.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Компания Canonical повторила попытку интегрировать AppArmor ..."  +/
Сообщение от i (??) on 20-Фев-10, 20:49 
уж лучше бы в основное ядру интегрировали PAX и Grsec
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Компания Canonical повторила попытку интегрировать AppArmor "  –2 +/
Сообщение от Ariel (ok) on 20-Фев-10, 21:20 
Я не пойму кое-что иное: почему в Linux всё нужно пихать в kernel?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Компания Canonical повторила попытку интегрировать AppArmor "  +2 +/
Сообщение от аноним on 20-Фев-10, 21:33 
А что, держать в патчсетах, которые никто не поддерживает и которые ломаются с каждым новым ядром? И, да будет тебе известно, Linux и есть kernel.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "Компания Canonical повторила попытку интегрировать AppArmor "  +/
Сообщение от anonymous (??) on 21-Фев-10, 18:34 
Банальная оптимизация ресурсов, меньше переключений контекста, блокировок.

Ваш К.О.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру