The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

У SELinux появился более удобный аналог

12.01.2006 20:35

Компания Novell объявила об открытии под лицензией GPL исходных текстов системы AppArmor, разработкой которой занималась приобретенная Novell'ом в прошлом году компания Immunix. До настоящего времени ПО AppArmor поставлялось в комплекте с SUSE Linux в бинарном виде. Комплекс AppArmor предназначен для контроля за выполнением программ в Linux, в соответствии с заданной политикой безопасности.

По сути, он выполняет те же функции, что и SELinux (также похож на Systrace), только имеет одно существенное преимущество - он более прозрачен и прост в настройке.

При установке модуль ядра AppArmor использует интерфейс LSM (Linux Security Modules), т.е. никаких патчей накладывать не нужно.

Пример конфигурации для сервиса ntpd:


/usr/sbin/ntpd {
 #include <abstractions/base>>
 #include <abstractions/nameservice>
 #include <program-chunks/ntpd>
 capability ipc_lock,
 capability net_bind_service,
 capability sys_time,
 capability sys_chroot,
 capability setuid,
 /etc/ntp.conf             r,
 /etc/ntp/drift*           rwl,
 /etc/ntp/keys             r,
 /etc/ntp/step-tickers     r,
 /tmp/ntp*                 rwl,
 /usr/sbin/ntpd            rix,
 /var/log/ntp              w,
 /var/log/ntp.log          w,
 /var/run/ntpd.pid         w,
 /var/lib/ntp/drift        rwl,
 /var/lib/ntp/drift.TEMP   rwl,
 /var/lib/ntp/var/run/ntp/ntpd.pid w,
 /var/lib/ntp/drift/ntp.drift      r,
 /drift/ntp.drift.TEMP     rwl,
 /drift/ntp.drift          rwl,
}


  1. Главная ссылка к новости (http://www.prnewswire.com/cgi-...)
  2. AppArmor Detail
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: linux, kernel, security, limit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (11) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, pavlinux (?), 22:50, 12/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
      А вот теперь представили, что так каждый бинарник нужно, и в частности  для cat, а то ведь и cat /etc/ntpd.conf по идее не должен работать.
      А теперь посчитали количество бинарников и кол-во файлов (dir,fifo,dev,sockets,pipe,links) с которыми один бинарник работает,... итого С(m,n) комбинации из m по n. в пределе 2^(m+n), У меня их 15800  binary + 160000 text, следственно идеальная защита будет 2^180000 строк текста вида /var/log/ntp              w,r
    /var/log/ntp.log          w,i

    и т.д.

     
     
  • 2.2, Аноним (-), 23:24, 12/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Не для всех бинарников, а только для кривых, таких как ntpd, через которые рута в системе удаленно получить раз плюнуть.

    Интересно, когда появится база готовых AppArmor конфигов для популярных сетевых сервисов ?

     
     
  • 3.4, uF0 (?), 04:26, 13/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Раз раз плюнуть, плюньте раз и выкладывайте примеры в студию.
     
     
  • 4.5, Аноним (-), 09:31, 13/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Раз раз плюнуть, плюньте раз и выкладывайте примеры в студию.

    Пожалуйста:
    http://downloads.securityfocus.com/vulnerabilities/exploits/ntpd-exp.c

     
     
  • 5.6, xz (??), 11:08, 13/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, щас веть ред хэт 7.0 у всех стоит )))
     
     
  • 6.11, Skif (ok), 14:33, 20/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >ну да, щас веть ред хэт 7.0 у всех стоит )))

    Могу назвать не один такой сервер... К сожалению. Радует что не мои :)

     
  • 5.7, Gennadi (??), 15:50, 13/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Aug 22  2000 /bin/bash


    ..... на дворе какбуд-то 2006 год.....

     
     
  • 6.8, Аноним (-), 17:10, 13/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >..... на дворе какбуд-то 2006 год.....

    Только вот ничего не изменилось с тех пор:
    http://secunia.com/search/?search=ntp
    Как видите эксплоит бы создан в 2000 году, а пофиксили в конце 2005 ! Есть над чем задуматься.

     
  • 4.9, pavlinux (ok), 20:23, 13/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    http://packetstorm.linuxsecurity.com/0512-exploits/2005-exploits.tgz
     

  • 1.3, Аноним (-), 00:08, 13/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гхым. Чего-то синтаксис аналога очень на синтаксис Grsecurity похож...
     
     
  • 2.10, Andrey Mitrofanov (?), 14:19, 16/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Только GrSec не [использует и не хочет] LSM, а аналог использует LSM.
    http://www.grsecurity.net/lsm.php
    http://forums.grsecurity.net/viewtopic.php?t=408
    http://cvsweb.grsecurity.net/index.cgi/gradm2/policy?rev=1.25&content-type=te

    А по сути - и *хорошо*, что "похоже", пользователям _легче_. Нечего велосипеды изобретать.
    Ж)) Велосипед: http://lwn.net/Articles/105413/?format=printable

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру