Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Руководство по использованию Capsicum для изоляции выполнени..., opennews (??), 15-Май-12, (0) [смотреть все] +1 Тяжело им без SELinux , Аноним (-), 21:56 , 15-Май-12, (1) –4 // Толсто у них есть свой мандатный контроль доступа К тому же 1, а не 4 разных, Аноним (-), 22:04 , 15-Май-12, (2) // Но редхата своего у них нет, так что правила писать некому Значит, повод для зав, Аноним (-), 22:38 , 15-Май-12, (4) +3   // ради самообразования не ради bsd vs linux , зачем нужен делали МАС по именам, вм, Аноним (-), 21:06 , 16-Май-12, (23)   зачем сделали МАС по именам, а не по меткам , Аноним (-), 00:33 , 17-Май-12, (28)   Не только ради простоты Пара примеров Далеко не все ФС поддерживают метки безопа, Аноним (-), 02:28 , 17-Май-12, (33)   А что, MAC в рамках TrustedBSD так довели до рабочего состояния Afaik, история з, Аноним (-), 22:56 , 15-Май-12, (6) // Afaik оно работает, даже в OS X, не говоря уже о FreeBSD, где начиная с 5 версии, Аноним (-), 06:49 , 16-Май-12, (7) +1 В OS X запросто, там все-таки Apple А вот насчет Фри - не могли бы вы пруфы пре, Аноним (-), 14:39 , 16-Май-12, (12) http www freebsd org doc en_US ISO8859-1 books handbook mac html, Аноним2 (?), 15:18 , 16-Май-12, (14) +1 Брат аноним уже дал ссылку на оффициальный guide, там даже есть некий набор гото, Аноним (-), 15:19 , 17-Май-12, (40) MAC и фильтр сисколов - это совершенно разные технологии Capsicum - это аналог , Аноним (-), 22:40 , 15-Май-12, (5) +3 // Ну откуда ж ему знать то Его цель - просто пёрнуть в лужу, а не вникнуть в суть, user (??), 08:11 , 16-Май-12, (8) // Но по сути он все же прав На фре без SELinux тяжело , Аноним (-), 16:05 , 16-Май-12, (15) По сути во Фре есть свой MAC, да и порт SELinux тоже делали, SEBSD, незнаю, прав, Аноним (-), 15:21 , 17-Май-12, (41) Какой-то очень приблизительный аналог то - фильтр сисколов vs довески на права , Аноним (-), 12:32 , 17-Май-12, (38) Это такая хреновинка, которую 90 не знают и 9 отключают если включено , Куяврик (?), 10:24 , 16-Май-12, (9) // Да Практически все продвинутые технологии безопасности на десктопах и гoвносерв, Аноним (-), 14:41 , 16-Май-12, (13) +1 // и уже через годик почти любой подробный мануал по настройке чего-нибудь буде, Аноним (-), 16:06 , 16-Май-12, (16) +2 Потому что что виндозные ACL что вот это вот - такая хрень что проще застрелитьс, Аноним (-), 21:46 , 16-Май-12, (26) +1 Разобрались бы для начала в разнице между SELinux и Capsicum, потом бы писали бр, Kibab (ok), 18:44 , 16-Май-12, (17) Вообще-то если прочесть про капсикум, то Google планирует интегрировать его в яд, NoMan (?), 19:45 , 16-Май-12, (22) // В результате его интегрируют только в ядро ChromeOS А в мейнстиме среагируют та, Аноним (-), 02:11 , 17-Май-12, (29) Почему-то вспоминается анекдот Анонс в аэропорту планировал совершить посадку, Аноним (-), 12:36 , 17-Май-12, (39) Мне capsicum показался излишне усложнённым, seccomp filter в Linux гораздо проще, Аноним (-), 22:36 , 15-Май-12, (3) +3 // А можно поподробнее Было бы интересно послушать , Kibab (ok), 18:45 , 16-Май-12, (18) // http outflux net teach-seccomp , Аноним (-), 19:02 , 16-Май-12, (20) // Посмотрел, спасибо Что вывел для себя 1 В примере разрешаются вызовы read, wri, Kibab (ok), 19:31 , 16-Май-12, (21) +1 Я конечно понимаю что бсдшники - перфекционисты Но вот как раз именно поэтому и, Аноним (-), 21:42 , 16-Май-12, (25) –1 Проблема именно в том, что seccomp filters -- это не простое в использовании , Kibab (ok), 21:48 , 16-Май-12, (27) А вон ту инструкциб из 13 действий мы назовем простой и удобной, ну конечно В р, Аноним (-), 02:17 , 17-Май-12, (30) Ну вы сравнили bzip2 и хелловорлд - Вообще пора включить мозг -- 99 совреме, Kibab (ok), 02:38 , 17-Май-12, (35) Ну все замечательно, конечно, но это аж 2 программы При том далеко не самые про, Аноним (-), 12:28 , 17-Май-12, (37) –1 Знаете, сейчас один из самых реальных и действенных способов ломануть юзера пом, Kibab (ok), 20:55 , 18-Май-12, (44) Нет, тут просто решалась вполне конкретная задача докопаться к чему-нибудь И он, Аноним (-), 02:17 , 17-Май-12, (31) Собственно, поэтому не вижу смысла вступать в диалог И другим не советую , Аноним (-), 02:18 , 17-Май-12, (32) Ну так в случае идеальной софтины докопаться не получится Хотя наезды макофага , Аноним (-), 12:00 , 17-Май-12, (36) А слабо теперь аргументировать, что вы тут понаписали - , Kibab (ok), 20:58 , 18-Май-12, (45) Как раз искал Шикарно Спасибо огромное , _yurkis_ (?), 10:24 , 16-Май-12, (10) // Если искались, подпишитесь на cl-capsicum-discuss, откроете для себя ещё много и, Kibab (ok), 18:46 , 16-Май-12, (19) На BSDCan говорили, что уже в 9 1 будет в GENERIC , Аноним (-), 14:29 , 16-Май-12, (11) // а там не говорили когда 9 1 зарелизится , oops (ok), 17:17 , 17-Май-12, (42) // Планируется начать release cycle в конце мая и закончить в июле-августе , Alexander Motin (?), 19:17 , 18-Май-12, (43) Ну ать-ать-ать, кто ж так новости постит, а Это п Все бы замечательно конечн, Аноним (-), 21:39 , 16-Май-12, (24) +2 Ну, кто там сомневался что x86 с его куцыми регистрами - не рулит , Аноним (-), 02:38 , 17-Май-12, (34) 1,3,10,11,24,34

Сообщения

[Сортировка по времени | RSS]

	4. "Руководство по использованию Capsicum для изоляции выполнени..."	+3 +/–
	Сообщение от Аноним (-), 15-Май-12, 22:38
	> у них есть свой мандатный контроль доступа. Но редхата своего у них нет, так что правила писать некому. > К тому же 1, а не 4 разных Значит, повод для зависти все-таки есть. MACа нужно как минимум два: привязанный к меткам и привязанный к именам. Их архитектуры будут совершенно разными, и ни одна из них не может быть универсальна сама по себе.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Руководство по использованию Capsicum для изоляции выполнени..."	+/–
	Сообщение от Аноним (-), 16-Май-12, 21:06
	> MACа нужно как минимум два: привязанный к меткам и привязанный к именам. ради самообразования(не ради bsd vs linux), зачем нужен делали МАС по именам, вместо "по меткам"? Только простоты ради?
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Руководство по использованию Capsicum для изоляции выполнени..."	+/–
	Сообщение от Аноним (-), 17-Май-12, 00:33
	* зачем сделали МАС по именам, а не по меткам?
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Руководство по использованию Capsicum для изоляции выполнени..."	+/–
	Сообщение от Аноним (-), 17-Май-12, 02:28
	> ради самообразования(не ради bsd vs linux), зачем нужен делали МАС по именам, > вместо "по меткам"? Только простоты ради? Не только ради простоты. Пара примеров. Далеко не все ФС поддерживают метки безопасности. А если ФС предполагается использовать в разных юниксах с разными реализациями MAC - это вообще грустно. Еще в меточных системах иногда возникает необходимость обновить ветки на всей иерархии. Как правило, эта операция производится на ранней стадии загрузки (чтобы не интерферировать с работой юзерспейса) и может занимать довольно продолжительное время, что не всегда приемлемо. Наконец, бывают случаи, когда файлам нужно присвоить контекст, отличный от контекста их программы-создателя. В меточных системах это обычно делается путем обновления меток в поддереве по событию ФС, что не очень изящно и экономично.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема