LINUX.ORG.RU
ФорумAdmin

GrSecurity/RBAC или SELinux

 , , , ,


0

1

В общем, впилил я SELinux себе в систему вместе с hardened-профилем. И хорошо, что я не переводил его из permissive - судя по логам аудита, при переводе в enforced systemd бы у меня сломался чуть менее, чем полностью (причем собранный с юзом selinux, hardened же), а с ним и все остальное. Посмотрел я на это безобразие, представил себе, что же произойдет с остальными прогами, сказал «упаси Луна!» и подумал об альтернативах SELinux. Единственное, что вспомнилось - GrSec с RBAC.
Итак...

  • Будет ли GrSec адекватнее, чем SELinux и будет ли так резать проги? На grsecurity.net описано, что RBAC работает чуть ли не совсем без конфигурации, но в это что-то слабо верится.
  • Сильно ли их патчи отстают от текущих версий ядра? На grsecurity.net такой инфы не нашел :(
  • В каком виде оно впиливается в ядро и идет ли в оф. деревьях Gentoo? eix grsec - ничего :(
  • В целом что будет проще - допилить чрезмерно кастрирующие политики SE или таки GS?

Кастую известного мне пользователя GS Lifun.

★★★★★

GrSec + всякие дополнительны флаги компилятора.

deterok ★★★★★
()
Ответ на: комментарий от DeadEye

не я.
этими фичами вообще не пользуюсь.

Deleted
()

Отвечу как смогу, сам не использую ВСЕ фичи hardened в продакшене, только выборочные

eix grsec

eix gradm

Будет ли GrSec адекватнее, чем SELinux и будет ли так резать проги?

Как настроишь - так и будет. Без обучения дефолтные политики куцые и скудны, что там, что там. Правда под SELinux готовых политик больше. Но лично мне обучать SELinux - сложнее даже в RHEL/CentOS. А уж в Gentoo - и подавно. Но это ИМХО.

Сильно ли их патчи отстают от текущих версий ядра? На grsecurity.net такой инфы не нашел :(

Сравни последние версии vanilla-sources, gentoo-sources и hardened-sources, присутствующие в дереве

В каком виде оно впиливается в ядро и идет ли в оф. деревьях Gentoo?

SELinux есть даже в vanilla-sources. GrSec - в hardened-sources

В целом что будет проще - допилить чрезмерно кастрирующие политики SE или таки GS?

Мне проще работать с текстовыми конфигами GrSec, чем с бинарными модулями SELinux. А модули приходится трогать именно бинарные в случае SELinux. Но, как я уже сказал - это моё ИМХО - последний раз SELinux я плотно щупал на генте года 3-4 назад - что-то вполне могло поменяться.

А вообще складывается ощущение, что половина вопросов(про патчи, где присутствует SELinux/GrSecurity) задана без чтения соответствующих страниц на wiki.gentoo.org

Pinkbyte ★★★★★
()
Ответ на: комментарий от DeadEye

А с selinux ты что-то делал? Или просто выбрал профиль и пересобрал мир с ядром? Даже в джентовской хаутушке на 5 листов инструкция по бутстрапу на selinux.

imul ★★★★★
()

В каком виде оно впиливается в ядро и идет ли в оф. деревьях Gentoo?

Помимо hardened-sources ещё есть geek-sources, где ты сам можешь выбрать, какие патчи накатывать, в том числе и PaX + GrSecurity. Субъективно, geek-sources обновляется быстрее.

А вообще сначала почитай вики на gentoo.org и офф.вики.

Chaser_Andrey ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin