В SUSE добавят SELinux

>Это обычное явление. Шапоковцы начинают пропихивать оттачивают и вылизывают. Все их ругают ... Потом постепенно устаканивается это начинают пихать ( через пару лет ) во всякие дебианы и сусы( которые для Линуха не фига ничего не делают )

Оно просто кабе в сусе ненужно было, поэтому и не включали. Была собственная разработка - AppArmor, который в том числе используется в убнте. Сейчас решили включить для пользователей которые мигрируют с дистрибутивов с SELinux.

админы slackware настолько суровы , что сидят на голом posix без selinux, apparmor и даже без pam'a =)

> Это обычное явление. Шапоковцы начинают пропихивать оттачивают и вылизывают. Все их ругают ...

> а потом все говорят что Федора такое г .... а дебиан круть ! Можно много чего вспомнить по этому поводу : переход на 4 гсс, у8 ну и т.д.

GCC - Это разработка RedHat?

> GCC - Это разработка RedHat?

По большей части, да.

> Да-а, пол-года одну проблему искали, оказалось - селинукс. Проблема такая: blowfish девять раз шифрует/расшифровывает нормально, на десятый - выдаёт лажу. И хоть тресни. Как догадаться, что это селинукс?

dmesg? less /var/log/messages? Там же в лог пишется, что было запрещено.

Братцы, а давайте флэйм на тему SELinux vs. AppArmor vs. gradm устроим, а?

Что там ещё бывает? RSBAC какой?

> Оно просто кабе в сусе ненужно было, поэтому и не включали. Была собственная разработка - AppArmor, который в том числе используется в убнте. Сейчас решили включить для пользователей которые мигрируют с дистрибутивов с SELinux.

Батя, разработчиков AppArmor давно уже уволили из Новела, поэтому и пихают в Зузю selinux - единый стандарт т.с.

в федоре оно по умолчанию рапортует об инцидентах.

>сертифицированные дистры с SELinux

http://www.niap-ccevs.org/cc-scheme/vpl/

VID №№ 10062, 10063, 10072, 10133, 10163, 10165, 10125, 10286 - Красная шапка, EAL3-EAL4

Оно? Или будешь п***ть дальше?

>Братцы, а давайте флэйм на тему SELinux vs. AppArmor vs. gradm устроим, а?

Ну давай ачинай. Проблема в том что большинство здесь просто не умеют пользваться и не пользуются ни первым ни вторым ни третьим, хорошо если еще хотя бы знают что это такое.

В целом в целях образования флейм не помешал бы

Как пользователь RedHat с 10 летним стажем, могу сказать, что Suse не повезло. SeLinux - самая кошмарная реализация Security Enhanced Linux.

Кстати никто не знает почему в ядро засунули ЭТО, а не RSBAC? Тем более selinux в самом начале своего развития был дрянью(судя по статьям на сайтах rsbac и grsecurity).

NSA протолкнуло.

На самом деле, даже SeLinux не панацея - недавно был жутка дыра в ядре с vmsplice - и под SeLinux оно на ура работало.

>На самом деле, даже SeLinux не панацея - недавно был жутка дыра в ядре с vmsplice - и под SeLinux оно на ура работало.

Логично. Можно вопрос - а что для Линукса панацея? Если вопрос слишком прост - усилим его - а есть ли панацея для чего нибудь вообще в нашем реальном мире ?

>Можно вопрос - а что для Линукса панацея? Помоему 1) Осторожная разработка ядра, не как сейчас. 2) Максимальное упрощение системы с точки зрения организации дистрибутива. 3) Концентрация усилий на проектах не однодневках, чтобы не разводился зоопарк в 1000 элементные репозитарии. 4) Здоровый консерватизм.

PS Безопасна система не с кучей подсистем и настроек (по определению), а система необходимо - достаточная под задачу.

При этом "Универсальные сложные средства обеспечения безопасности" иногда безполезны без простых технических и организационных решений.

А сверху будут ставить кашперского и система в итоге зохавает сама себя.

>Логично. Можно вопрос - а что для Линукса панацея? Если вопрос слишком >прост - усилим его - а есть ли панацея для чего нибудь вообще в нашем >реальном мире ?

Смерть

АНБ разработало SeLinux только потому что самая популярная система неоднократно давала такие сбои,что это могло навредить любым сферам экономики США! Не всем спецслужбам беразлично здоровье экономики своей страны!КГБ-ФСБ вот наоборот старается ,чтобы граждане РФ никак уж не смогли подняться с колен и кормить сами себя, а не за счёт нефти и газа.Ничего к 23 году доходы от продажи нефти упадут в трое в РФ и правительство будет нуждаться в своём народе и здоровой экономике. Раньше, чем через 10 лет и не мечтайте о том,что будете иметь свой бизнес.А пока молчаливо народу придётся соглашаться ,что всему хорошему в стране обязано партии ЕР,а не высоким ценам на энергоносители на мировом рынке и внутреннем. Настроеный же Selinux же защищает в первую очередь приложения,а вот ошибки ядра и в том числе ошибки в самом SELinux это ей неподвластно!Но из-за того ,что ошибки ядра обычно не такие частые как в приложениях(особено ошибки безопасности)это разумная политика.Что ж касается использования SELinux,то тут обычно является проблемой человек!Почему то все думают, что SElinux в системах redhat и федора пронизывают всю систему и всё там как бы защищено этой системой безопасности.Нет! Во первых : тот кто разрабатывал эти системы настроили систему безопасности для тех приложений,которые чаще всего подвержены атакам -это сетевые сервисы,но не все,а всего 86 кажется ! Настроили так как посчитали это нужным!И хотя делали это скорей всего профессионалы ,но их настройки могут не совсем соответсвовать настройкам вашей системы!Поэтому каждое такое приложение нужно разбираться с его настройками "по умолчанию" и изменять их по своему усмотрению Во вторых:все остальные приложения ,кроме этих никак не связаны с этой системой и по причине того ,что SELinux работает в режиме targeted ,а не strict(это значит ,что те программы,для которых не написаны правила selinux ,могут делать в системе ,что захотят,в том числе и вирусы!в том числе и админы или пользователи!)никак не защищены получаются! Поэтому в каждом сервере нужно понять какие приложения нужны и какие правила именно для этого нужны(какая программа может писать в какой каталог и из какого каталога только читать такой-то файл и тп ),а потом включается режим strict(всё запрещено,что не разрешено правилами selinux) и тогда уже система является вандалоустойчивой!Написание правил для приложений дело трудное и хлопотное!Количество этих правил для обычной серверной системы может составлять около 150 ТЫСЯЧ правил!Ясно ,что позволить себе их использовать по настоящему могут только профессионалы(либо большие организации нанимая тех же профессионалов :).Обычные же люди(в том числе и обычные админы) всё равно испольуют настройки по умолчанию,которая даётся компанией РедХат в своих дистрибутивах.В случае ,если вам потребуется,что дополнительно открыть или исправить политику безопасности этого приложения нужно будет загружаться чуть ли rescuecd диска и исправлять политику на targeted и потом дописывать правила как требуется .Исправить же ходу не получится ни админу,ни зловредному пользователю или приложению.RSBAC и AppArmor системы менее гибкие и более простые и обычно те дистрибутивы ,которые внедрили у себя эту технологию стремяться попасть на рабочий стол привлекая пользователя простотой настроек.SUN сравнивая пару лет назад системы безопасности свою и SELinux ставила сложность написания этих правил и большую вероятность ошибиться в этих правилах как одно из основных недостатков SELINUX(вторым крупным недостатком были проблемы с графическим интерфейсом).Но сейчас в этом направлении сделаны сдвиги -появились визарды для SELinux,которые сводят вероятность таких ошибок к минимуму.Да и сама SUN подумывала внедрить SELinux (точнее ядро этой технологии FLASK -его тоже АНБ разработало)в свой Солярис.Так что, САН критиковать критикует, но сама с удовольствием взяла её себе эту технологию.Точно также и Микрософт -охаивает,но покупает себе дистрибутивы новель для распространения среди своих клиентов.Поговаривали ещё несколько лет назад о том что будет у микрософта свой дистрибутив линукс и даже название ему придумали redmon linux ,но микрософт пошла немного другим путём.Кроме этого схожая технология есть и во FreeBSD ,не уверен в её полной работоспособности ,но что-то есть!с 5 версии кажется начали там её внедрять.Будет виндовс открыт(исходные тексты может АНБ внедрит и виндовс эту технологию или сама микрософт её внедрит. Для написания правил нужно знать как работает приложение откуда и куда записывает и может записать в случае нестандартной ситуации -это иногда нужно чуть ли не залезать в исходные коды , чтобы посмотреть все случаи дейсвий приложения.Оптимальным получается ,что такую политику настроит лучше всего производитель софта,но он её настроит по максимуму,опять в том варианте в котором система будет более открыта,чем вам может потребоваться!

>Если бы еще выпускали вариант дистрибутивов со включенной поддержкой NX-бита, вообще было бы классно.

Где пор это можно почитать? Насколько я знаю nx bit включен по умолчанию, как это проверить?

> На самом деле, даже SeLinux не панацея - недавно был жутка дыра в ядре с vmsplice - и под SeLinux оно на ура работало.
> anonymous (*) (22.08.2008 8:01:58)

Вот. А под grsecurity оно не работало. Ядро материлось, давало kernel oops, и просило перезагрузки, но шелла не отдавало.

>Где пор это можно почитать? Насколько я знаю nx bit включен по умолчанию, как это проверить

http://en.wikipedia.org/wiki/NX_bit#Linux

>SUN сравнивая пару лет назад системы безопасности свою и SELinux ставила сложность написания этих правил и большую вероятность ошибиться в этих правилах как одно из основных недостатков SELINUX(вторым крупным недостатком были проблемы с графическим интерфейсом).Но сейчас в этом направлении сделаны сдвиги -появились визарды для SELinux,которые сводят вероятность таких ошибок к минимуму.Да и сама SUN подумывала внедрить SELinux (точнее ядро этой технологии FLASK -его тоже АНБ разработало)в свой Солярис.

Как показывается практика, можно ошибиться и в iptables, и в sendmail. Но это не повод отказываться.

>Кстати никто не знает почему в ядро засунули ЭТО, а не RSBAC?

А почитай на сайте selinux.

>Как пользователь RedHat с 10 летним стажем

SElinux и exec shield там не десять лет.

>> Кстати никто не знает почему в ядро засунули ЭТО, а не RSBAC?

> А почитай на сайте selinux.

А конкретнееб где? В FAQ?

>ну как бы если не знать как настроить, то как бы и в кластере MySQL не запустишь.

В кластере MySQL запустить - дело пяти минут (в той же убунте вообще по умолчанию кластерный вариант). А вот траходром с исправлением правил (причем нерекомендованный) есть в наличии.

> На самом деле, даже SeLinux не панацея - недавно был жутка дыра в ядре с vmsplice - и под SeLinux оно на ура работало.

Вот не надо ля-ля, selinux ту багу просто изумительно блокировал. Разумеется, когда он был отключен общесистемно или для какого-то сервиса, потому что людям "лень настраивать" - бага наблюдалась. Разумеется, когда имелась какая-нибудь федора даже с включенным selinux'ом, но с отключенным для процессов пользователя - по умолчанию - и под этим пользователем запускали эксплоит, он срабатывал. Но из под конкретного демона - апач там, или еще что, защищаемом selinux'ом, он сработать не мог. Как и из под обычного пользователя в strict-политике - только последнюю используют разве что на самых боевых серверах.

Такое ощущение, что здесь все ругающие selinux в глаза не видели, и вообще не представляют, что он может и как им управлять.. Либо видели в режиме strict-политики, когда он жутко мешает работе пользователя, что было при первых попытках его внедрения (в самых первых федорах).

Попробуйте, блин, редхат пятый. Максимум десять строк твиков нужно будет, если захотите использовать cgi-скрипты, которые куда-то не туда лезут или еще какой-нибудь изврат, остальное вообще из коробки идеально пахать будет. И весьма прилично защищать.

>>а потом все говорят что Федора такое г

ну из-за селинукса в частности Торвальдс постил баг в багзиллу, что у него не работает флешь, и мол жена его убъёт. Там разобрались, что виной был именно селинукс...

Я-то думал, что в любом дистре Линукса SELinux включается по желанию и главное быстро. А оказалось, что это не так просто, как кажется...

Для примера: во FreeBSD есть пять уровней безопасности, подкреплённых расширенными атрибутами файловой системы. Причём это УЖЕ есть искароппки, ничего допиливать ненужно — только задать 2 опции в rc.conf, а потом управлять этим (в одностороннем порядке) через sysctl.

>Я-то думал, что в любом дистре Линукса SELinux включается по желанию и главное быстро. А оказалось, что это не так просто, как кажется...

>Для примера: во FreeBSD есть пять уровней безопасности, подкреплённых расширенными атрибутами файловой системы. Причём это УЖЕ есть искароппки, ничего допиливать ненужно — только задать 2 опции в rc.conf, а потом управлять этим (в одностороннем порядке) через sysctl.

Какие ещё нах пять уровней?

Читай: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

>Какие ещё нах пять уровней?

См. sysctl kern.securelevel
-1, 0, 1, 2, 3.

> ну из-за селинукса в частности Торвальдс постил баг в багзиллу, что у него не работает флешь, и мол жена его убъёт. Там разобрались, что виной был именно селинукс...

пруфлинк! или не было

Почитайте то, что я Вам дал. MAC во FreeBSD имеет примерно те же цели, что и SELinux в Linux.

Даю ещё одну наводящую ссылку: http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B8%D0%BD%D1%83%D0%B4%D0%B8%D1%82...

Внизу есть абзац "см. также", там они в одном списке.

А те 5 уровней, про котрые Вы говорите, к обсуждаемой теме вообще не имеют отношения. Разве что только тем, что оба являются средствами для повышения безопасности.

>А те 5 уровней, про котрые Вы говорите, к обсуждаемой теме вообще не имеют отношения. Разве что только тем, что оба являются средствами для повышения безопасности.

MAC без них вообще ничего не значит.

>> ну из-за селинукса в частности Торвальдс постил баг в багзиллу, что у него не работает флешь, и мол жена его убъёт. Там разобрались, что виной был именно селинукс...

>пруфлинк! или не было

https://bugzilla.redhat.com/show_bug.cgi?id=439858
digg.com/linux_unix/Linus_Youtube_ no_workee_Fedora_9_not_usable_for_wife

>MAC без них вообще ничего не значит.

Обоснование есть?

MAC реализует политику доступа пользователя к защищаемым объектам. А то, о чём Вы говорите, предотвращает ядро системы от модификации root'ом.

Другими словами первое осложняет взломавшему, допустим bind или apache, изменить файлы, с которыми bind и apache не работают. Второе защищает ядро системы, когда взломавший уже получил доступ к root!

Защищать систему, когда атакующий уже получил root - несколько поздно.
"Поздно пить боржоми, когда почки отвалились." (c) не мой

Слив защитан. Во FreeBSD средство, аналогичное SELinux, НЕ "искаропке".

> Единственный велосипед - ГОСТовые алгоритмы криптографии...

Это не надолго. Скоро будут в мейнстриме.

>> Единственный велосипед - ГОСТовые алгоритмы криптографии... >Это не надолго. Скоро будут в мейнстриме.

А как прикрутить ГОСТ к SSH? Реализация ГОСТа вообще есть?

Я б не сказал, что Новелл что-то круто-полезное для линукса сделал. Вот РедХет- молодчаги. И вообще, американцы молодцы на счет программирования. Респект им. А вот салабонам из Альтов и АСПов - ------1.

>>MAC без них вообще ничего не значит.
>Обоснование есть?

Есть:
>Защищать систему, когда атакующий уже получил root - несколько поздно.

Так что sysctl kern.securelevel — ЭТОНАШЕВСЁ! В Линуксе такого нет.

>Как пользователь RedHat с 10 летним стажем, могу сказать, что Suse не повезло. SeLinux - самая кошмарная реализация Security Enhanced Linux.

Как аналогичный пользователь RedHat с 6.2, могу сказать, что SELinux лучшая реализация. Самая продвинутая, удобная, протестированная и показавшая себя при отражении реальных атак и эксплойтов ошибок в раздличных подсистемах.

>Так что sysctl kern.securelevel — ЭТОНАШЕВСЁ! В Линуксе такого нет.

Да в Linux такого нет, там просто не позволяют получить root.

Будет в openssl, здесь тусуется один из разработчиков, помучай поиск.

>Да в Linux такого нет, там просто не позволяют получить root.

Не теште своё самолюбие. Ещё как позволяют!
В популярных дистрах Линукса есть пункт в меню GRUB по типу: "загрузиться в режим защиты от сбоев" БЕЗ необходимости ввода пароля рута. :D

> В популярных дистрах Линукса есть пункт в меню GRUB по типу: "загрузиться в режим защиты от сбоев" БЕЗ необходимости ввода пароля рута. :D

А еще можно вытащить винчестер, загрузиться с флешки или просто раз*шить машину кувалдой.

Замечательно... иметь два механизма - это хорошо. Особенно если они еще и управление сделают удобное как AppArmor, сузя от этого только выиграет.

Положительная новость.

Давно бы уже пора было..

>В популярных дистрах Линукса есть пункт в меню GRUB по типу: "загрузиться в режим защиты от сбоев" БЕЗ необходимости ввода пароля рута. :D

Если есть возможность неконтролируемого физического доступа к консоли, то надо шифровать диск. LUKS замечательно работает.

>В популярных дистрах Линукса есть пункт в меню GRUB по типу: "загрузиться в режим защиты от сбоев" БЕЗ необходимости ввода пароля рута. :D

Вполне логично - пароль рута можно ведь и забыть. Для подобных случаев и нужен однопользовательский режим. А в RIP-OS как ?