The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Практикум по использованию категорий безопасности в SELinux

21.01.2006 22:43

В статье "Getting Started with Multi-Category Security (MCS)" приводятся практические примеры использования, появившейся в тестируемом в настоящее время Linux дистрибутиве Fedora Core 5, функциональности SELinux, дающей возможность оперировать категориями. Т.е. можно значительно упростить работу с SELinux, определив несколько наборов правил (например, "Company_Confidential" или "Medical_Records") и дальше оперировать ими как атрибутами для управления доступом.

В предыдущей статье "А brief introduction to Multi-Category Security (MCS)" были изложены основные принципы MCS.

  1. Главная ссылка к новости (http://james-morris.livejourna...)
Лицензия: CC-BY
Источник: lwn.net
Тип: английский / Практикум
Короткая ссылка: https://opennet.ru/6840-selinux
Ключевые слова: selinux, security, linux, limit, acl
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, pavlinux (??), 00:35, 23/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот и в Linux понапихали дерьма всякого, постепенно превращаемся в VAX/VMS, а теперь вспомним что есть VAX с VMS, и что есть Linux, за одно вспомним судьбу VAX/VMS. Linux, по идее, не может быть ОСью для Мэинфрэймов (пока), ну неверю я, что возможно одновременно работать 100000 человек, пускай хотя бы с консолью и VI или TeX. В Линухе спустя 10 лет, ACL стали более-менее использовать, а тут такие, 99.9%   людей ненужные вещи.  
     
  • 1.2, pavlinux (??), 00:43, 23/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ...В догонку, опять про VAX.
       Насколько я помню там прав доступа к файлам/объектам было что-то около 12 или 16. А теперь представили 2 в 16 степени (65536) вариантов доступа к файлу :) Клёво, да?! Особенно меня прикалывало, когда стояло READ, WRITE, NODELETE
    то есть обнулить файл мог, а удалить нет :)
     
  • 1.3, pavlinux (??), 00:49, 23/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ... и ещё про VAX, ладно, так уж и быть открою секрет, такие права как READ, WRITE, NODELETE ставились на файлы устройств и т.п.
     
     
  • 2.4, dct (??), 05:27, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле не самая глупая комбинация, даже в переводе на обычные файлы.. Примеров может быть куча....

     
     
  • 3.5, Мартышкин (ok), 05:32, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ты меня опередил на минуту.

    Это спасает систему от миллиарда коллизий.

    И что такое "100 000 пользователей"?

    100 тысяч пачечек перфокарт переложенных огрызками гетинакса и перехваченных резинкой от трусов, что ли?

    > 100000 человек, пускай хотя бы с консолью и VI или TeX
    По 300-бодной сверхсекретной линии?

     

  • 1.6, Аноним (-), 08:23, 23/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пускай внедряют
    понадобится - рано или поздно
    существущая система прав 777 убога донельзя
     
  • 1.7, Santa_Claus (ok), 09:11, 23/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не хлопцы, SELinux это необходимость.

    Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.

     
     
  • 2.8, pavlinuix (?), 10:57, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Да не нужна она в Линухе, А NT ядро у VAX спёрло, всмысле разрабатывали одни и те же люди.
     
     
  • 3.11, Мартышкин (ok), 12:22, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Гугл и форум ореннет переполнены призывами - спасите скорей ничего не делал, все развалилось! Потому что не хватает запрета менять владельца файлА, либо фичи сохранять владельца файлА, даже если его преписывает рут. 9/10 истерик о помощи - повышение или понижение прав на доступ к конфиг или спул файлам. Проделай лабораторную:

    chmod u+w sudoers

    Самое смешное, что посылать в ... sudo может тебя так, что ни в логах, ни в удаленной консоли ты ее ... не увидишь. Вот и чеши репу!

    А был бы атрибут "не менять разрешений" - никто не налетал бы на это после "chmod -R u+w /usr/local/etc"

     
  • 2.9, csa (??), 10:57, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
    а можно поподробнее? не флейма ради, а знаний для..
     
     
  • 3.12, Santa_Claus (ok), 13:15, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
    >а можно поподробнее? не флейма ради, а знаний для..

    Ну, например вот permission entry для каталога в винде:
    full control
    traverse folder/execute file
    list folder/read data
    read attributes
    read extended attributes
    create files/append data
    write attributes
    write extended attributes
    delete subfolders and files
    delete
    read permissions
    change permissions
    take ownership

    и все это раздельно можно задавать для групп юзеров или по отдельным юзерам.

    Правда такая гибкость порождает в свою очередь проблемы в том, что нетривиально (быстро и штатными ср-вами в удобочитаемом виде) узнать права всех юзеров на все каталоги.

     
     
  • 4.14, Andrey Mitrofanov (?), 15:42, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
    >>а можно поподробнее? не флейма ради, а знаний для..
    >Ну, например вот permission entry для каталога в винде:
    >full control
    >traverse folder/execute file
    >list folder/read data
    [...skip...]
    >и все это раздельно можно задавать для групп юзеров или по отдельным
    >юзерам.
    Это по-человечески называется ACL. Права доступа к файлам в виде списков, а не триад ugo**rwx. Кому надо, у того ACL есть и в fs, и в самбе, я думаю.

    SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на _действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих прав. Это, наверное, ближе к каким-нибудь policies в Win*.

    > проблемы в том, что нетривиально
    То, что не белается "одной кнопкой", то есть было изначально реализовано разработчиками в виде этой самой "одной кнопки", _будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет по-меньше.

     
     
  • 5.15, Santa_Claus (ok), 09:00, 24/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Ну, например вот permission entry для каталога в винде:
    >Это по-человечески называется ACL. Права доступа к файлам в виде списков, а
    >не триад ugo**rwx. Кому надо, у того ACL есть и в
    >fs

    А где подобное в ФС найти?

    >SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на
    >_действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих
    >прав. Это, наверное, ближе к каким-нибудь policies в Win*.

    Да и это тоже.

    >_будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет
    >по-меньше.

    Изначально базар был о том, что SELinux нужен.

     
     
  • 6.17, Andrey Mitrofanov (?), 10:04, 24/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Кому надо, у того ACL есть и в fs
    > А где подобное в ФС найти?
    В. Интернете. google.ru/search?q=ACL+filesystem и т.п.
    http://acl.bestbits.at/ "The 2.6 kernel already includes support for ext2, ext3, jfs and xfs."
    Ну, или в своём ядре.
     
     
  • 7.18, Santa_Claus (ok), 12:11, 24/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Кому надо, у того ACL есть и в fs

    getfacl, setfacl - Это?

     
  • 2.10, K_Sasha (?), 12:10, 23/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Не хлопцы, SELinux это необходимость.
    >
    >Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни
    >говорили.

    На сколько мне известно, SELinux разработан для ограничения root с системе, виндофс тут не причем, а уж гибкость тем более, это больше на геморой похоже :(  

     

  • 1.13, Аноним (-), 15:35, 23/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно быстро узнать права пользователя по отношению к каталогам и файлам.
     
     
  • 2.16, Santa_Claus (ok), 09:01, 24/01/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно
    >быстро узнать права пользователя по отношению к каталогам и файлам.

    Это да. Но эта ОС уже умерла.

     
     
  • 3.19, maks (??), 09:45, 01/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Зато NDS eDirectory, работает как на Линухах, так и Соляре
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру