forum.opennet.ru

"AppArmor и Yama будут включены в Linux-ядро 2.6.36"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "AppArmor и Yama будут включены в Linux-ядро 2.6.36"	+2 +/–
Сообщение от аноним (?), 01-Авг-10, 00:18
Видимо, вы просто плохо понимаете, как работает Linux. >если кто считает что селинуху нельзя поднасрать - он читает новости про эксплойты с повышением прав в линухе (было тут в новостях). Почему-то сплойты первым делом SELinux выпилиывают, чтоб под ногами не мешался >ИМХО можно достичь сравнимой секурити куда менее геморными методами, скажем путем простой распиловки на отдельные изолированные контейнеры. Контейнеры дают ровно такую же защиту, как и LSM-based MAC (в частности, selinux). Потому что если имеется критическая уязвимость _в самом ядре_, любые средства, работающие на уровне ядра и ниже, _абсолютно бессильны_. В этой ситуации защитить могут только над-ядерные методы - гипервизор (xen) или физическое разделение по серверам. >А так геморная штука, как только что-то окромя стандартных операций надо - сливай вода, туши фонарь Вы уж определитесь, либо оно вам надо, и тогда изучайте и не пишите глупостей, либо оно вам совершенно не нужно, и тогда забудьте о такой вещи, как мандатный контроль доступа.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

AppArmor и Yama будут включены в Linux-ядро 2.6.36, opennews, 31-Июл-10, 10:12 [смотреть все]

Я то думал, что на АррАrmor уже давно все забили и оно в анабиозе гдето лежит К, KERNEL_PANIC, 31-Июл-10, 10:24 (2) //
- Тебе оно мешает Не хочешь - не используй Вреда не принесет, а польза будет явн, goof.gooffy, 31-Июл-10, 12:33 (3) //
  - Ну из описания, например, не понятно какие у неё плюсы по сравнению с SELinux , dimqua, 31-Июл-10, 12:57 (4) //
    - а плюсов нетДо селинукса этим велосипедам далеко, Аноним, 31-Июл-10, 13:15 (5)
      - Только в настройке геморроен и если кто считает что селинуху нельзя поднасрать -, User294, 31-Июл-10, 22:17 (14)
        
        Видимо, вы просто плохо понимаете, как работает Linux Контейнеры дают ровно таку , аноним, 01-Авг-10, 00:18 (26)
        
        Не линукс а искусственные довески к нему в виде всяких SELinix-ов и прочие манда, User294, 01-Авг-10, 11:27 (29)
        
        Контейнеры - ровно так же Срубаются в два счета Да-да, для использования уязвим, аноним, 01-Авг-10, 14:27 (35)
        
        А пруф Например, образец сплойта который вышибет хоть тот же опенвз Примеры сп, User294, 04-Авг-10, 02:16 (48)
        
        Резюмируя контейнеры дают ровно такую же степень защиты, как и LSM, при этом пр, аноним, 01-Авг-10, 00:20 (27)
        
        Да не настолько уж и больше Зависит от конкретики, конечно Кстати думается что, User294, 01-Авг-10, 11:43 (30)
        
        А про то, что в каждом контейнере пашут всякие вспомогательные службы типа sshd,, аноним, 01-Авг-10, 14:29 (36)
        
        При некоторой организации процесса sshd можно и совсем не запускать можно напри, User294, 04-Авг-10, 02:48 (49)
    - Главный плюс AppArmor в том, что с ней можно разобраться за 5 минут, там очень п, Аноним, 31-Июл-10, 13:16 (6)
      - Ну дык будь последовательным и сравни _возможности_ SELinux и AppArmor, это неб, Аноним, 31-Июл-10, 18:26 (13)
        
        Первым можно задолбаться защищать систему и его могут сломать смотрим как работ, User294, 31-Июл-10, 22:20 (15)
        
        Админа, который полез в серьезный продакшен, не затруднив себя изучением основ р, аноним, 31-Июл-10, 23:48 (23)
        
        В природе есть два мнения - ваше и неправильное Сильно зависит от контейнеров, User294, 01-Авг-10, 12:04 (31)
        
        Ну вы сразу бы и говорили, что вы скрипт кидди, и ничего не понимаете в работе с, аноним, 01-Авг-10, 14:18 (34)
        
        Да, если дело дошло до хоста и его ядра А удастся ли спровоцировать проблему из, User294, 04-Авг-10, 03:42 (50)
        
        AppArmor не ставит перед собой глобальных целей, он просто позволяет не дать зап, Аноним, 31-Июл-10, 22:26 (16)
        
        Так должна работать нормальная система MAC, например, selinux в targeted-режиме , аноним, 31-Июл-10, 23:50 (24)
        
        Рискну высказать своё некомпетентное в уме не е-у ни байта ни про SELinux ни пр, StrangeAttractor, 01-Авг-10, 02:59 (28)
    - Не надо сравнивать кислое с длинным selinux - для защиты промышленных серверов, , аноним, 31-Июл-10, 15:41 (9)
      - Не согласен Если система сложная, админу труднее умещать ее в своей голове Рас, User294, 31-Июл-10, 22:36 (18)
        
        Админу тык кто его пустит то политики вертеть Не его это дело, а таки спеца п, slepnoga, 31-Июл-10, 22:51 (21)
        
        Угу, для управления парой серверов ща отрастим бюрократическую машину по принцип, User294, 01-Авг-10, 12:14 (32)
        
        Вы, видимо, просто никогда не работали с selinux Да, для изучения базовых навыко, аноним, 31-Июл-10, 23:55 (25)
        
        Как вам сказать Я посмотрел на его политики, сломал моск и решил что могу не ху, User294, 01-Авг-10, 12:22 (33)
        
        Позвольте узнать, ваше знакомство с арифметикой закончилось так же Ага, а еще я , аноним, 01-Авг-10, 14:33 (37)
        
        Нет, почему же, я знаю и высшую математику Только, простите, я успешно забыл на, User294, 09-Авг-10, 13:26 (51)
  - А давайте wine в ядро запхнём А чего, хочешь используй - не хочешь используй , MidNighter, 31-Июл-10, 13:16 (7) //
    - Да вроде как уже см longene Правда, не mainstream, что радует , аноним, 31-Июл-10, 15:49 (11)
    - Не ядерный код - не запихнем , User294, 31-Июл-10, 22:37 (19)
  - Так все в ядро пихнуть можно Оно и так уже раздуто, по самый не могу, даже Лину, KERNEL_PANIC, 31-Июл-10, 14:18 (8)
  - Неа Пользы по сравнению с tomoyo ноль, а вред может принестись запросто Чем б, аноним, 31-Июл-10, 15:45 (10)
Вообще, в случае локального удаленного рута apparmor будет защищать не лучше пре, аноним, 31-Июл-10, 16:13 (12)
почему никто на grsecurity не обращает внимания что там не так http www grsec, i, 31-Июл-10, 22:32 (17) //
- Там уже можно вилдкард для дир Нет - ну запиливаем обратно на сервак без юзвер, slepnoga, 31-Июл-10, 22:47 (20)
В новости ни слова об OpenWall Linux, хотя первые 2 из трёх возможностей Yama , segoon, 01-Авг-10, 21:49 (38)
RSBAC - http www rsbac org - гибче и мощнее Но включать в ядро его не хотят , gapsf2, 02-Авг-10, 06:30 (39) //
- ну хоть ктото наконец то про него написал из всего сброда что радует , Yuriy, 02-Авг-10, 14:48 (40)
Отсутствие нормально спроектированной, последовательной подсистемы безопасности , Роман, 02-Авг-10, 15:18 (41) //
- Вы про ACL или ещё что-то ACL уже давно есть , segoon, 02-Авг-10, 17:06 (42) //
  - Для произвольного системного объекта подлежащего защите или только для файлов , Роман, 02-Авг-10, 19:04 (44)
- Тут, кстати, я полностью верю в закон Дарвина Чем больше подсистем безопаснос, segoon, 02-Авг-10, 17:17 (43) //
  - Я не против модульности в системе безопасности В конце концов, в Windows это то, Роман, 02-Авг-10, 19:25 (45) //
    - А вы в курсе того, на что способна эта unix-модель Когда она была создана, каки, segoon, 02-Авг-10, 20:56 (46)
    - Кстати, про by design В Windows множество ошибок, в т ч безопасности, были и, segoon, 02-Авг-10, 21:56 (47)
В виндовсе в какой то мере соблюдается обратная совместимость с предыдущими верс, nagual, 05-Дек-10, 04:19 (52)
А вот и контроилирует без capability sys_admin, mount --bind и pivot_root невоз, Аноним, 21-Мрт-17, 19:11 (53)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру