forum.opennet.ru

"AppArmor и Yama будут включены в Linux-ядро 2.6.36"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "AppArmor и Yama будут включены в Linux-ядро 2.6.36"	+/–
Сообщение от Аноним (-), 21-Мрт-17, 19:11
>Он же приниципально не котролирует права на mount -bind. Получив возможность запускать код от рута, первым делом биндим /bin, /sbin и т.п. куда-нибудь в тихое местечко, и вуаля - вся система наша, что есть apparmor, что нет его А вот и контроилирует: без capability sys_admin, mount --bind и pivot_root невозможны. >Если вы скопируете, например, утилиту ping из каталога /bin/ в каталог /usr/bin или переименуете ее в my_ping, то никакие ограничения AppArmor на нее действовать уже не будут – не будет профиля для «новой» программы. Во первых, не скопируем, потму что у пофили это обычно блокируют. Даже если скопируем - не запустим, так как на запуск право дается избранным файлам. Даже если запустим - запущенное приложение унаследует ограничения родительского профиля. >Распознавание приложений и, соответственно, определение их полномочий, производится по имени исполняемого файла. Именно этот момент очень часто выступает ключевым в критике AppArmor. Действительно, подменив имя исполняемого файла, злоумышленник может вывести приложение из-под контроля AppArmor. Самый простой пример — создание жесткой ссылки. Более сложный вариант — выполнение mount --bind или pivot_root. Хрен там раз: AppArmor контролирует создание ссылок, куда попало ссылку не кинешь. Хрен там два: без capability sys_admin, mount --bind и pivot_root невозможны. >Недостаток такого подхода заключается в том, что при создании жесткой символической ссылки приложение «уходит» из-под контроля системы безопасности. AppArmor это успешно контролирует через l, >В частности, TOMOYO, в отличие от AppArmor, позволяет контролировать права на операции mount --bind и pivot_root Врёти, без capability sys_admin, ничего у вас не выйдет, а большинство профилей в этом разрешении не нуждаются (точнее не видел ни одгого такого профиля). >Даже простой tomoyo, при правильной настройке, может очень сильно обломать кайф таким ксакепам. А apparmor - нет, при всем желании. >Вообще, в случае локального/удаленного рута apparmor будет защищать не лучше пресловутого фИгового листика. Врёти, ваши доказательства не доказательства и разгромлены выше.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

AppArmor и Yama будут включены в Linux-ядро 2.6.36, opennews, 31-Июл-10, 10:12 [смотреть все]

Я то думал, что на АррАrmor уже давно все забили и оно в анабиозе гдето лежит К, KERNEL_PANIC, 31-Июл-10, 10:24 (2) //
- Тебе оно мешает Не хочешь - не используй Вреда не принесет, а польза будет явн, goof.gooffy, 31-Июл-10, 12:33 (3) //
  - Ну из описания, например, не понятно какие у неё плюсы по сравнению с SELinux , dimqua, 31-Июл-10, 12:57 (4) //
    - а плюсов нетДо селинукса этим велосипедам далеко, Аноним, 31-Июл-10, 13:15 (5)
      - Только в настройке геморроен и если кто считает что селинуху нельзя поднасрать -, User294, 31-Июл-10, 22:17 (14)
        
        Видимо, вы просто плохо понимаете, как работает Linux Контейнеры дают ровно таку, аноним, 01-Авг-10, 00:18 (26)
        
        Не линукс а искусственные довески к нему в виде всяких SELinix-ов и прочие манда, User294, 01-Авг-10, 11:27 (29)
        
        Контейнеры - ровно так же Срубаются в два счета Да-да, для использования уязвим, аноним, 01-Авг-10, 14:27 (35)
        
        А пруф Например, образец сплойта который вышибет хоть тот же опенвз Примеры сп, User294, 04-Авг-10, 02:16 (48)
        
        Резюмируя контейнеры дают ровно такую же степень защиты, как и LSM, при этом пр, аноним, 01-Авг-10, 00:20 (27)
        
        Да не настолько уж и больше Зависит от конкретики, конечно Кстати думается что, User294, 01-Авг-10, 11:43 (30)
        
        А про то, что в каждом контейнере пашут всякие вспомогательные службы типа sshd,, аноним, 01-Авг-10, 14:29 (36)
        
        При некоторой организации процесса sshd можно и совсем не запускать можно напри, User294, 04-Авг-10, 02:48 (49)
    - Главный плюс AppArmor в том, что с ней можно разобраться за 5 минут, там очень п, Аноним, 31-Июл-10, 13:16 (6)
      - Ну дык будь последовательным и сравни _возможности_ SELinux и AppArmor, это неб, Аноним, 31-Июл-10, 18:26 (13)
        
        Первым можно задолбаться защищать систему и его могут сломать смотрим как работ, User294, 31-Июл-10, 22:20 (15)
        
        Админа, который полез в серьезный продакшен, не затруднив себя изучением основ р, аноним, 31-Июл-10, 23:48 (23)
        
        В природе есть два мнения - ваше и неправильное Сильно зависит от контейнеров, User294, 01-Авг-10, 12:04 (31)
        
        Ну вы сразу бы и говорили, что вы скрипт кидди, и ничего не понимаете в работе с, аноним, 01-Авг-10, 14:18 (34)
        
        Да, если дело дошло до хоста и его ядра А удастся ли спровоцировать проблему из, User294, 04-Авг-10, 03:42 (50)
        
        AppArmor не ставит перед собой глобальных целей, он просто позволяет не дать зап, Аноним, 31-Июл-10, 22:26 (16)
        
        Так должна работать нормальная система MAC, например, selinux в targeted-режиме , аноним, 31-Июл-10, 23:50 (24)
        
        Рискну высказать своё некомпетентное в уме не е-у ни байта ни про SELinux ни пр, StrangeAttractor, 01-Авг-10, 02:59 (28)
    - Не надо сравнивать кислое с длинным selinux - для защиты промышленных серверов, , аноним, 31-Июл-10, 15:41 (9)
      - Не согласен Если система сложная, админу труднее умещать ее в своей голове Рас, User294, 31-Июл-10, 22:36 (18)
        
        Админу тык кто его пустит то политики вертеть Не его это дело, а таки спеца п, slepnoga, 31-Июл-10, 22:51 (21)
        
        Угу, для управления парой серверов ща отрастим бюрократическую машину по принцип, User294, 01-Авг-10, 12:14 (32)
        
        Вы, видимо, просто никогда не работали с selinux Да, для изучения базовых навыко, аноним, 31-Июл-10, 23:55 (25)
        
        Как вам сказать Я посмотрел на его политики, сломал моск и решил что могу не ху, User294, 01-Авг-10, 12:22 (33)
        
        Позвольте узнать, ваше знакомство с арифметикой закончилось так же Ага, а еще я , аноним, 01-Авг-10, 14:33 (37)
        
        Нет, почему же, я знаю и высшую математику Только, простите, я успешно забыл на, User294, 09-Авг-10, 13:26 (51)
  - А давайте wine в ядро запхнём А чего, хочешь используй - не хочешь используй , MidNighter, 31-Июл-10, 13:16 (7) //
    - Да вроде как уже см longene Правда, не mainstream, что радует , аноним, 31-Июл-10, 15:49 (11)
    - Не ядерный код - не запихнем , User294, 31-Июл-10, 22:37 (19)
  - Так все в ядро пихнуть можно Оно и так уже раздуто, по самый не могу, даже Лину, KERNEL_PANIC, 31-Июл-10, 14:18 (8)
  - Неа Пользы по сравнению с tomoyo ноль, а вред может принестись запросто Чем б, аноним, 31-Июл-10, 15:45 (10)
Вообще, в случае локального удаленного рута apparmor будет защищать не лучше пре, аноним, 31-Июл-10, 16:13 (12)
почему никто на grsecurity не обращает внимания что там не так http www grsec, i, 31-Июл-10, 22:32 (17) //
- Там уже можно вилдкард для дир Нет - ну запиливаем обратно на сервак без юзвер, slepnoga, 31-Июл-10, 22:47 (20)
В новости ни слова об OpenWall Linux, хотя первые 2 из трёх возможностей Yama , segoon, 01-Авг-10, 21:49 (38)
RSBAC - http www rsbac org - гибче и мощнее Но включать в ядро его не хотят , gapsf2, 02-Авг-10, 06:30 (39) //
- ну хоть ктото наконец то про него написал из всего сброда что радует , Yuriy, 02-Авг-10, 14:48 (40)
Отсутствие нормально спроектированной, последовательной подсистемы безопасности , Роман, 02-Авг-10, 15:18 (41) //
- Вы про ACL или ещё что-то ACL уже давно есть , segoon, 02-Авг-10, 17:06 (42) //
  - Для произвольного системного объекта подлежащего защите или только для файлов , Роман, 02-Авг-10, 19:04 (44)
- Тут, кстати, я полностью верю в закон Дарвина Чем больше подсистем безопаснос, segoon, 02-Авг-10, 17:17 (43) //
  - Я не против модульности в системе безопасности В конце концов, в Windows это то, Роман, 02-Авг-10, 19:25 (45) //
    - А вы в курсе того, на что способна эта unix-модель Когда она была создана, каки, segoon, 02-Авг-10, 20:56 (46)
    - Кстати, про by design В Windows множество ошибок, в т ч безопасности, были и, segoon, 02-Авг-10, 21:56 (47)
В виндовсе в какой то мере соблюдается обратная совместимость с предыдущими верс, nagual, 05-Дек-10, 04:19 (52)
А вот и контроилирует без capability sys_admin, mount --bind и pivot_root невоз , Аноним, 21-Мрт-17, 19:11 (53)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру