The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Оценка шансов AppArmor войти в состав Linux ядра

04.07.2007 15:30

В материале "Linux security non-modules and AppArmor" разбирается вопрос возможности включения в основное Linux ядро более простой, по сравнению с SELinux, системы создания политик безопасности AppArmor.

Недавно разработчикам Linux ядра была представлена новая версия AppArmor патча, в которой были исправлены ранее высказанные замечания.

Но политики AppArmor по прежнему задаются в привязке к файловому пути, а не через непосредственную привязку метки к объекту, что по мнению некоторых специалистов создает лишь иллюзию безопасности. Это и является главным камнем преткновения, мешающим включению AppArmor в основное ядро.

  1. Главная ссылка к новости (http://www.linuxworld.com/news...)
  2. OpenNews: Пример защиты приложения при помощи AppArmor
  3. OpenNews: У SELinux появился более удобный аналог
  4. OpenNews: Ограничения на выполнение программы с помощью AppArmor в SUSE Linux
Лицензия: CC-BY
Тип: английский / К сведению
Ключевые слова: apparmor, security, acl, limit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (13) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, ABorland (?), 16:40, 04/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Торвальдсу бы получше к RSBAC присмотреться, вместо того, чтобы недобезопасность (SELinux,AppArmor) в ядро запихивать
     
     
  • 2.2, Аноним (2), 17:55, 04/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    SELinux дает практически тотже эффекто что и RSBAC, только при меньших затратах и патчах на софт.
    Вот Novell взяла бы и довела до ума RSBAC а не городила бы свой велосипед. А так на сегодня SELinux более практически применим чем RSBAC.
     
     
  • 3.3, linked (?), 18:11, 04/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Dear Аноним,
    есть ведь какая-то веская причина, почему Novell городит? Или там неумные мужи?
     
     
  • 4.4, fresco (??), 19:07, 04/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Ну уж... Microsoft тоже много чего городит. И мужики там умные. Просто цель у них -- зарабатывать деньги, а не хорошие продукты выпускать.

    Так что это не показатель, IMHO.

     
  • 4.6, serg1224 (?), 20:51, 04/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > есть ведь какая-то веская причина, почему Novell городит?
    Деньги! ONLY!
     
  • 4.11, belkin (?), 14:07, 05/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Dear Аноним,
    >есть ведь какая-то веская причина, почему Novell городит? Или там неумные мужи?
    >

    Мои наблюдения говорят о том, что всё то, что попадает к Novell'у через некоторое время превращается в развалины и потом спешно продаётся. Главный и по-настоящему хороший продукт NDS (eDir) и то не смогли продвинуть, несмотря на все его достоинства. Если бы NDS достался, скажем, MS, тогда бы они им весь земной шар смогли "попутать".

     
     
  • 5.12, Квагга (?), 15:30, 05/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > всё то, что попадает к Novell'у через некоторое время
    > превращается в развалины и потом спешно продаётся.

    +100!

     
  • 2.5, Все тот же аноним (?), 19:07, 04/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Очень интересно, почему RSBAC - это круто, а SELinux - "недобезопасность". Если можно, без соплей и со ссылкой на модели.
     
     
  • 3.7, Andrew Kolchoogin (?), 21:38, 04/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    RSBAC - это же какая-то там книга (оранжевая, что ли), i.e. стандарт для Пентагона?
    Или я ошибаюсь?
     
     
  • 4.8, Все тот же аноним (?), 23:16, 04/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Я не знаток "книг Пентагона", врать не буду. А то, что RHEL5 первой из Linux получила сертификат Common Criteria того же уровня, что и Trusted Solaris - медицинский факт.

    А вообще RSBAC - это GNU спецификация ограничения доступа, включающая в себя мандатный доступ, списки доступа, интерфейс к антивирусам и что-то типа RBAC (правила доступа, основанные на ролях).

    SELinux, естественно, имеет меньше возможностей, чем RSBAC. Но на защищенном сервере они нафиг не нужны. Контекстных правил SELinux достаточно.

     
     
  • 5.9, Аноним (-), 10:23, 05/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А вы читали мнения из rsbac и grsecurity по поводу selinux? Очень интересное чтиво http://www.rsbac.org/documentation/why_rsbac_does_not_use_lsm http://www.grsecurity.net/lsm.php
     
     
  • 6.10, Все тот же аноним (?), 11:29, 05/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Теперь уже да, читал. Покажите мне работающий RSBAC - и я составлю свой список претензий.
     
     
  • 7.13, Аноним (-), 09:11, 06/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Увы работающий нормально(насколько я мог видеть) он был только в alt castle. Остальное как то не прельщает.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру