>Эта статья заканчивает тему AppArmor. В следующих выпусках серии «Безопасный Linux» будет рассказано о конкуренте AppArmor – восходящей звезде, включенной в ядро Linux 2.6.30 и новейшие дистрибутивы – системе TOMOYO Linux. Также в фокус нашего внимания попадет давний визави AppArmor – система SELinux, разработка Национального агентства безопасности США.

спасибо. граждане индусы, с нетерпением буду ждать нормальных статей с практическими примерами и обилием ссылок на другую документацию, а не просто поверхностный обзор, в отношении SeLinux и TOMOYO

напишите лучше.... для кого-то самое то

Как обычно

Эмммм... И что.... кто мне вернет потраченное время на прочтение очередной сатьи которая не несет никакого смысла? У вас не возникает такого чувства после прочтения статей от IBM Developerworks?

Безопасный линукс, это линукс на компе вашего кореша. Остальное все опасно даже в презике.

Играя роль посредника, программа «пропускает» через себя разрешаемые профилем действия (обращения к файлам и вызовы POSIX), блокируя все остальные

У меня на Винде антивирус такой был, тоже какие то вызовы блокировал и мозк трахал разрешить\неразрешить.

У меня на Винде антивирус такой был, тоже какие то вызовы блокировал >и мозк трахал разрешить\неразрешить.

Тут маленько все подругому .Есть уже написанные правила ,указывающие к каким функциям и библиотекам приложение может обращаться .И что делать если происходит нарушение правил .
Пример
#include <tunables/global>
/usr/lib/firefox-3.5.*/firefox {
#include <abstractions/audio>
#include <abstractions/base>
skip //
# per-user common plugin configuration
@{HOME}/.icedteaplugin/ rw,
@{HOME}/.icedteaplugin/** rw,
@{HOME}/.adobe/ rw,
@{HOME}/.adobe/** rw,
@{HOME}/.macromedia/ rw,
@{HOME}/.macromedia/** rw,
@{HOME}/.java/ rw,
@{HOME}/.java/** rwk,
# Plugins/helpers
#
@{PROC}/[0-9]*/fd/ r,
/usr/lib/** rm,
/bin/bash ixr,
/bin/dash ixr,
/bin/grep ixr,
/bin/ps Uxr,
То есть нарушилась раьота приложения - кирдык приложению .

>У меня на Винде антивирус такой был, тоже какие то вызовы блокировал и мозк трахал разрешить\неразрешить.

Ни разу у мну AppArmor ничего не спросил, когда я юзал openSUSE

ух какие злобные вантузятники набежали) срочно круить что такое RBAC, мандатный контроль доступа и ЗПС, и зачем это нужно. на винде кстати тоже нужно.

Да ладно вам, мы то знаем что он решето :)

>У вас не возникает такого чувства после прочтения статей от IBM Developerworks?

Нет, у нас такого чувства не бывает от статей IBM Developerworks.

Безопасный Linux : Часть третья. Архитектура безопасности

Я генту на всякий случай в презервативе компилю.

цитатко

У меня на Винде антивирус такой был, тоже какие то вызовы блокировал и мозк трахал разрешить\неразрешить.

Ни разу у мну AppArmor ничего не спросил, когда я юзал openSUSE

а он в дефолтном режиме ничего путем не блокирует, там правил мало. что бы на полную катушку его юзать надо самому правила писать либо брать уже сделанные наборы.

Вчера установил, настроил самбу с капсом и печатью по чети. Даже ребутнулся - чтобы проверить что все работает. Сегодня включаю принтер УЖЕ НЕ ПЕЧАТАЕТ. Даже джобы не принимает. Вот это я понимаю безопасность, Линукс самозабанил опасный девайс!

Несет. Причем еще как несет. Ну впринципи процентов 5-10 полезного можно почерпнуть.

>а не просто поверхностный обзор

Кому то нужен и поверхностный обзор. А тем кому не нужен читают маны, ... молча.

покуривая донской

я так понимаю, аппармор хорош на серваке, но не на десктопе ?

> Эмммм... И что.... кто мне вернет потраченное время на прочтение очередной сатьи которая не несет никакого смысла? У вас не возникает такого чувства после прочтения статей от IBM Developerworks?

Для деток постарше уже давно исходники публикуют.

> я так понимаю, аппармор хорош на серваке, но не на десктопе ?

у меня и на десктопе тоже. а ты разве не параноик?

И где тут конкретные рекомендации? Или типа обзор «blah-blah-blah»?

Финальным аккордом:

http://www.nixp.ru/news/9224

:)))))

>я так понимаю, аппармор хорош на серваке, но не на десктопе ?

Наоборот.

Для серваков хорош SELinux, который много чего умеет и хорошо защищает, но уж очень трахабелен в настройке. Практически все современные серверные линухи, включая новелловские (несмотря на то, что аппармор принадлежит новеллу), используют по дефолту именно SELinux.

Ну а AppArmor со своей простотой и ограниченными возможностями пользуется популярностью на десктопах — убунта, мандрива, etc.

А каких именно возможностей не хватает в apparmor? Только не кивай в сторону твоей знакомой конторы которая кроме rhel/selinux ничего не признаёт :).

У вас не возникает такого чувства после прочтения статей от IBM Developerworks?

Согласен, бОльшая часть статей ацтой.

Silvy, я тоже сначала подумал, что перевод.

Евгений Ивашко, Сотрудник Института РАН, Институт прикладных математических исследований Карельского научного центра РАН.

Вот это предложения меня убило:

Недостаток такого подхода заключается в том, что при создании жесткой символической ссылки приложение «уходит» из-под контроля системы безопасности.

Я думал, что перевод кривой. Интересно, чувак сам понял что написал? Или он новый тип ссылок придумал?

>А каких именно возможностей не хватает в apparmor? Только не кивай в сторону твоей знакомой конторы которая кроме rhel/selinux ничего не признаёт :).

Я бы мог, конечно, затянуть традиционную бодягу про то, что дефолтный аппармор легко обходится хардлинками, и поэтому все равно приходится ставить no access по дефолту, так что аппармор становится не менее трахабельным чем селинух...

Но для меня _действительно_ критичными являются два момента:
1. Штатная поддержка основными серверными дистрибутивами (Debian и CentOS).
2. sVirt (очень актуально в свете наступления полного KVM).

Не видел чтобы кто-то юзал selinux в дебиане, а apparmor живёт в ubuntu server 8.04 и вполне работает :).

>Не видел чтобы кто-то юзал selinux в дебиане,

Тем не менее он там есть. Селинух вообще является стандартным компонентом ядра со времен 2.6.0.

а apparmor живёт в ubuntu server 8.04 и вполне работает :).

Я не считаю ubuntu server серверным дистрибутивом :)

Как-нить ещё подниму тему про серверные дистрибутивы. Щас сил нету уже флудить :)

какой жирный вендотроль неосилятор. иди сначала кнопку перебиндай, ушлепок:)))) на твоем месте поле таких фейлов нормальный чел повторил подвиг томми:)