forum.opennet.ru - "OpenNews: Практикум по использованию категорий безопасности ..." (19)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Практикум по использованию категорий безопасности ..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Практикум по использованию категорий безопасности ..."
Сообщение от opennews (??) on 23-Янв-06, 00:35
В статье "Getting Started with Multi-Category Security (MCS) (http://james-morris.livejournal.com/8228.html)" приводятся практические примеры использования, появившейся в тестируемом в настоящее время Linux дистрибутиве Fedora Core 5, функциональности SELinux, дающей возможность оперировать категориями. Т.е. можно значительно упростить работу с SELinux, определив несколько наборов правил (например, "Company_Confidential" или "Medical_Records") и дальше оперировать ими как атрибутами для управления доступом. В предыдущей статье "А brief introduction to Multi-Category Security (MCS) (http://www.livejournal.com/users/james_morris/5583.html)" были изложены основные принципы MCS. URL: http://james-morris.livejournal.com/8228.html Новость: http://www.opennet.ru/opennews/art.shtml?num=6840
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

Оглавление

Практикум по использованию категорий безопасности в SELinux, pavlinux, 00:35 , 23-Янв-06, (1)
Практикум по использованию категорий безопасности в SELinux, pavlinux, 00:43 , 23-Янв-06, (2)
Практикум по использованию категорий безопасности в SELinux, pavlinux, 00:49 , 23-Янв-06, (3)

Практикум по использованию категорий безопасности в SELinux, dct, 05:27 , 23-Янв-06, (4)

Вот именно., Мартышкин, 05:32 , 23-Янв-06, (5)

Практикум по использованию категорий безопасности в SELinux, Аноним, 08:23 , 23-Янв-06, (6)
Практикум по использованию категорий безопасности в SELinux, Santa_Claus, 09:11 , 23-Янв-06, (7)

Практикум по использованию категорий безопасности в SELinux, pavlinuix, 10:57 , 23-Янв-06, (8)

Она в Линуксе нужна, Мартышкин, 12:22 , 23-Янв-06, (11)

Практикум по использованию категорий безопасности в SELinux, csa, 10:57 , 23-Янв-06, (9)

Практикум по использованию категорий безопасности в SELinux, Santa_Claus, 13:15 , 23-Янв-06, (12)

Это называется ACL, а не 'система безопасности'., Andrey Mitrofanov, 15:42 , 23-Янв-06, (14)

Это называется ACL, а не 'система безопасности'., Santa_Claus, 09:00 , 24-Янв-06, (15)

Кому надо, у того есть, кому не надо, 'ищет'..., Andrey Mitrofanov, 10:04 , 24-Янв-06, (17)

Кому надо, у того есть, кому не надо, 'ищет'..., Santa_Claus, 12:11 , 24-Янв-06, (18)

Практикум по использованию категорий безопасности в SELinux, K_Sasha, 12:10 , 23-Янв-06, (10)

Практикум по использованию категорий безопасности в SELinux, Аноним, 15:35 , 23-Янв-06, (13)

Практикум по использованию категорий безопасности в SELinux, Santa_Claus, 09:01 , 24-Янв-06, (16)

Практикум по использованию категорий безопасности в SELinux, maks, 09:45 , 01-Фев-06, (19)

Сообщения по теме [Сортировка по времени, UBB]

1. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от pavlinux (??) on 23-Янв-06, 00:35

Вот и в Linux понапихали дерьма всякого, постепенно превращаемся в VAX/VMS, а теперь вспомним что есть VAX с VMS, и что есть Linux, за одно вспомним судьбу VAX/VMS. Linux, по идее, не может быть ОСью для Мэинфрэймов (пока), ну неверю я, что возможно одновременно работать 100000 человек, пускай хотя бы с консолью и VI или TeX. В Линухе спустя 10 лет, ACL стали более-менее использовать, а тут такие, 99.9%   людей ненужные вещи.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

2. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от pavlinux (??) on 23-Янв-06, 00:43

...В догонку, опять про VAX.
   Насколько я помню там прав доступа к файлам/объектам было что-то около 12 или 16. А теперь представили 2 в 16 степени (65536) вариантов доступа к файлу :) Клёво, да?! Особенно меня прикалывало, когда стояло READ, WRITE, NODELETE
то есть обнулить файл мог, а удалить нет :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

3. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от pavlinux (??) on 23-Янв-06, 00:49

... и ещё про VAX, ладно, так уж и быть открою секрет, такие права как READ, WRITE, NODELETE ставились на файлы устройств и т.п.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

4. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от dct (??) on 23-Янв-06, 05:27

На самом деле не самая глупая комбинация, даже в переводе на обычные файлы.. Примеров может быть куча....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

5. "Вот именно."

Сообщение от Мартышкин (ok) on 23-Янв-06, 05:32

Ты меня опередил на минуту.
Это спасает систему от миллиарда коллизий.
И что такое "100 000 пользователей"?
100 тысяч пачечек перфокарт переложенных огрызками гетинакса и перехваченных резинкой от трусов, что ли?
> 100000 человек, пускай хотя бы с консолью и VI или TeX
По 300-бодной сверхсекретной линии?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

6. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от Аноним on 23-Янв-06, 08:23

пускай внедряют
понадобится - рано или поздно
существущая система прав 777 убога донельзя

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

7. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от Santa_Claus (ok) on 23-Янв-06, 09:11

Не хлопцы, SELinux это необходимость.
Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

8. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от pavlinuix on 23-Янв-06, 10:57

Да не нужна она в Линухе, А NT ядро у VAX спёрло, всмысле разрабатывали одни и те же люди.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

11. "Она в Линуксе нужна"

Сообщение от Мартышкин (ok) on 23-Янв-06, 12:22

Гугл и форум ореннет переполнены призывами - спасите скорей ничего не делал, все развалилось! Потому что не хватает запрета менять владельца файлА, либо фичи сохранять владельца файлА, даже если его преписывает рут. 9/10 истерик о помощи - повышение или понижение прав на доступ к конфиг или спул файлам. Проделай лабораторную:
chmod u+w sudoers
Самое смешное, что посылать в ... sudo может тебя так, что ни в логах, ни в удаленной консоли ты ее ... не увидишь. Вот и чеши репу!
А был бы атрибут "не менять разрешений" - никто не налетал бы на это после "chmod -R u+w /usr/local/etc"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

9. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от csa (??) on 23-Янв-06, 10:57

>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
а можно поподробнее? не флейма ради, а знаний для..

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

12. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от Santa_Claus (ok) on 23-Янв-06, 13:15

>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
>а можно поподробнее? не флейма ради, а знаний для..
Ну, например вот permission entry для каталога в винде:
full control
traverse folder/execute file
list folder/read data
read attributes
read extended attributes
create files/append data
write attributes
write extended attributes
delete subfolders and files
delete
read permissions
change permissions
take ownership
и все это раздельно можно задавать для групп юзеров или по отдельным юзерам.
Правда такая гибкость порождает в свою очередь проблемы в том, что нетривиально (быстро и штатными ср-вами в удобочитаемом виде) узнать права всех юзеров на все каталоги.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

14. "Это называется ACL, а не 'система безопасности'."

Сообщение от Andrey Mitrofanov on 23-Янв-06, 15:42

>>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
>>а можно поподробнее? не флейма ради, а знаний для..
>Ну, например вот permission entry для каталога в винде:
>full control
>traverse folder/execute file
>list folder/read data
[...skip...]
>и все это раздельно можно задавать для групп юзеров или по отдельным
>юзерам.
Это по-человечески называется ACL. Права доступа к файлам в виде списков, а не триад ugo**rwx. Кому надо, у того ACL есть и в fs, и в самбе, я думаю.
SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на _действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих прав. Это, наверное, ближе к каким-нибудь policies в Win*.
> проблемы в том, что нетривиально
То, что не белается "одной кнопкой", то есть было изначально реализовано разработчиками в виде этой самой "одной кнопки", _будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет по-меньше.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

15. "Это называется ACL, а не 'система безопасности'."

Сообщение от Santa_Claus (ok) on 24-Янв-06, 09:00

>>Ну, например вот permission entry для каталога в винде:
>Это по-человечески называется ACL. Права доступа к файлам в виде списков, а
>не триад ugo**rwx. Кому надо, у того ACL есть и в
>fs
А где подобное в ФС найти?
>SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на
>_действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих
>прав. Это, наверное, ближе к каким-нибудь policies в Win*.
Да и это тоже.
>_будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет
>по-меньше.
Изначально базар был о том, что SELinux нужен.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

17. "Кому надо, у того есть, кому не надо, 'ищет'..."

Сообщение от Andrey Mitrofanov on 24-Янв-06, 10:04

>>Кому надо, у того ACL есть и в fs
> А где подобное в ФС найти?
В. Интернете. google.ru/search?q=ACL+filesystem и т.п.
http://acl.bestbits.at/ "The 2.6 kernel already includes support for ext2, ext3, jfs and xfs."
Ну, или в своём ядре.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

18. "Кому надо, у того есть, кому не надо, 'ищет'..."

Сообщение от Santa_Claus (ok) on 24-Янв-06, 12:11

>>>Кому надо, у того ACL есть и в fs
getfacl, setfacl - Это?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

10. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от K_Sasha on 23-Янв-06, 12:10

>Не хлопцы, SELinux это необходимость.
>
>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни
>говорили.
На сколько мне известно, SELinux разработан для ограничения root с системе, виндофс тут не причем, а уж гибкость тем более, это больше на геморой похоже :(

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

13. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от Аноним on 23-Янв-06, 15:35

2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно быстро узнать права пользователя по отношению к каталогам и файлам.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

16. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от Santa_Claus (ok) on 24-Янв-06, 09:01

>2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно
>быстро узнать права пользователя по отношению к каталогам и файлам.
Это да. Но эта ОС уже умерла.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

19. "Практикум по использованию категорий безопасности в SELinux"

Сообщение от maks (??) on 01-Фев-06, 09:45

Зато NDS eDirectory, работает как на Линухах, так и Соляре

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Практикум по использованию категорий безопасности в SELinux"
Сообщение от pavlinux (??) on 23-Янв-06, 00:35
Вот и в Linux понапихали дерьма всякого, постепенно превращаемся в VAX/VMS, а теперь вспомним что есть VAX с VMS, и что есть Linux, за одно вспомним судьбу VAX/VMS. Linux, по идее, не может быть ОСью для Мэинфрэймов (пока), ну неверю я, что возможно одновременно работать 100000 человек, пускай хотя бы с консолью и VI или TeX. В Линухе спустя 10 лет, ACL стали более-менее использовать, а тут такие, 99.9% людей ненужные вещи.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

2. "Практикум по использованию категорий безопасности в SELinux"
Сообщение от pavlinux (??) on 23-Янв-06, 00:43
...В догонку, опять про VAX. Насколько я помню там прав доступа к файлам/объектам было что-то около 12 или 16. А теперь представили 2 в 16 степени (65536) вариантов доступа к файлу :) Клёво, да?! Особенно меня прикалывало, когда стояло READ, WRITE, NODELETE то есть обнулить файл мог, а удалить нет :)
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

3. "Практикум по использованию категорий безопасности в SELinux"
Сообщение от pavlinux (??) on 23-Янв-06, 00:49
... и ещё про VAX, ладно, так уж и быть открою секрет, такие права как READ, WRITE, NODELETE ставились на файлы устройств и т.п.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	4. "Практикум по использованию категорий безопасности в SELinux"
	Сообщение от dct (??) on 23-Янв-06, 05:27
	На самом деле не самая глупая комбинация, даже в переводе на обычные файлы.. Примеров может быть куча....
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	5. "Вот именно."
	Сообщение от Мартышкин (ok) on 23-Янв-06, 05:32
	Ты меня опередил на минуту. Это спасает систему от миллиарда коллизий. И что такое "100 000 пользователей"? 100 тысяч пачечек перфокарт переложенных огрызками гетинакса и перехваченных резинкой от трусов, что ли? > 100000 человек, пускай хотя бы с консолью и VI или TeX По 300-бодной сверхсекретной линии?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

6. "Практикум по использованию категорий безопасности в SELinux"
Сообщение от Аноним on 23-Янв-06, 08:23
пускай внедряют понадобится - рано или поздно существущая система прав 777 убога донельзя
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

7. "Практикум по использованию категорий безопасности в SELinux"
Сообщение от Santa_Claus (ok) on 23-Янв-06, 09:11
Не хлопцы, SELinux это необходимость. Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	8. "Практикум по использованию категорий безопасности в SELinux"
	Сообщение от pavlinuix on 23-Янв-06, 10:57
	Да не нужна она в Линухе, А NT ядро у VAX спёрло, всмысле разрабатывали одни и те же люди.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	11. "Она в Линуксе нужна"
	Сообщение от Мартышкин (ok) on 23-Янв-06, 12:22
	Гугл и форум ореннет переполнены призывами - спасите скорей ничего не делал, все развалилось! Потому что не хватает запрета менять владельца файлА, либо фичи сохранять владельца файлА, даже если его преписывает рут. 9/10 истерик о помощи - повышение или понижение прав на доступ к конфиг или спул файлам. Проделай лабораторную: chmod u+w sudoers Самое смешное, что посылать в ... sudo может тебя так, что ни в логах, ни в удаленной консоли ты ее ... не увидишь. Вот и чеши репу! А был бы атрибут "не менять разрешений" - никто не налетал бы на это после "chmod -R u+w /usr/local/etc"
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	9. "Практикум по использованию категорий безопасности в SELinux"
	Сообщение от csa (??) on 23-Янв-06, 10:57
	>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили. а можно поподробнее? не флейма ради, а знаний для..
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	12. "Практикум по использованию категорий безопасности в SELinux"
	Сообщение от Santa_Claus (ok) on 23-Янв-06, 13:15
	>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили. >а можно поподробнее? не флейма ради, а знаний для.. Ну, например вот permission entry для каталога в винде: full control traverse folder/execute file list folder/read data read attributes read extended attributes create files/append data write attributes write extended attributes delete subfolders and files delete read permissions change permissions take ownership и все это раздельно можно задавать для групп юзеров или по отдельным юзерам. Правда такая гибкость порождает в свою очередь проблемы в том, что нетривиально (быстро и штатными ср-вами в удобочитаемом виде) узнать права всех юзеров на все каталоги.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	14. "Это называется ACL, а не 'система безопасности'."
	Сообщение от Andrey Mitrofanov on 23-Янв-06, 15:42
	>>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили. >>а можно поподробнее? не флейма ради, а знаний для.. >Ну, например вот permission entry для каталога в винде: >full control >traverse folder/execute file >list folder/read data [...skip...] >и все это раздельно можно задавать для групп юзеров или по отдельным >юзерам. Это по-человечески называется ACL. Права доступа к файлам в виде списков, а не триад ugo*rwx. Кому надо, у того ACL есть и в fs, и в самбе, я думаю. SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на _действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих прав. Это, наверное, ближе к каким-нибудь policies в Win. > проблемы в том, что нетривиально То, что не белается "одной кнопкой", то есть было изначально реализовано разработчиками в виде этой самой "одной кнопки", _будет_ и там, и тут сложно, нетривиально и проблемно. Только мне кажется, "непреодолимых" проблем "тут" будет по-меньше.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	15. "Это называется ACL, а не 'система безопасности'."
	Сообщение от Santa_Claus (ok) on 24-Янв-06, 09:00
	>>Ну, например вот permission entry для каталога в винде: >Это по-человечески называется ACL. Права доступа к файлам в виде списков, а >не триад ugo*rwx. Кому надо, у того ACL есть и в >fs А где подобное в ФС найти? >SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на >_действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих >прав. Это, наверное, ближе к каким-нибудь policies в Win. Да и это тоже. >_будет_ и там, и тут сложно, нетривиально и проблемно. Только мне кажется, "непреодолимых" проблем "тут" будет >по-меньше. Изначально базар был о том, что SELinux нужен.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	17. "Кому надо, у того есть, кому не надо, 'ищет'..."
	Сообщение от Andrey Mitrofanov on 24-Янв-06, 10:04
	>>Кому надо, у того ACL есть и в fs > А где подобное в ФС найти? В. Интернете. google.ru/search?q=ACL+filesystem и т.п. http://acl.bestbits.at/ "The 2.6 kernel already includes support for ext2, ext3, jfs and xfs." Ну, или в своём ядре.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	18. "Кому надо, у того есть, кому не надо, 'ищет'..."
	Сообщение от Santa_Claus (ok) on 24-Янв-06, 12:11
	>>>Кому надо, у того ACL есть и в fs getfacl, setfacl - Это?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	10. "Практикум по использованию категорий безопасности в SELinux"
	Сообщение от K_Sasha on 23-Янв-06, 12:10
	>Не хлопцы, SELinux это необходимость. > >Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни >говорили. На сколько мне известно, SELinux разработан для ограничения root с системе, виндофс тут не причем, а уж гибкость тем более, это больше на геморой похоже :(
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

13. "Практикум по использованию категорий безопасности в SELinux"
Сообщение от Аноним on 23-Янв-06, 15:35
2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно быстро узнать права пользователя по отношению к каталогам и файлам.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	16. "Практикум по использованию категорий безопасности в SELinux"
	Сообщение от Santa_Claus (ok) on 24-Янв-06, 09:01
	>2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно >быстро узнать права пользователя по отношению к каталогам и файлам. Это да. Но эта ОС уже умерла.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	19. "Практикум по использованию категорий безопасности в SELinux"
	Сообщение от maks (??) on 01-Фев-06, 09:45
	Зато NDS eDirectory, работает как на Линухах, так и Соляре
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^