AppArmor vs SELinux

Логично предположить, что те, кто пользуется только чем-то одним, сравнить не сможет. Я вот про армор совсем никак.

Ну, расскажите про SELinux)

Будь готов при любой проблеме первым делом лезть в audit.log и привыкни на автомате набирать ключ -Z к командам. А так с ним проблем очень мало, за эти годы вылизали все политики. Ну а шаг в сторону и нужно копаться в правах и контекстах файлов, назначении портов, разрешенных действиях. Плюс потеряешь несколько процентов производительности.

Что хорошего, что плохого, в чём разница?

Польза одинаковая, разница лишь в способах отключения в системе :)

Он нормально дружит с блобом nvidia? Когда-то слышал, что есть проблемы.

Судя по темам на лоре, к армору писать правила проще и сам он проще для освоения. Но, в шапке дефолтом селинукс, поэтому выбора нет.

Ну, хотелось бы услышать вкратце, в чём разность подходов и принципов работы.

У меня года три амд на стационаре и интел на ноутах. По поводу энвидии ничего не скажу.

Средствами SELinux можно предусмотреть несколько уровней доступа к объекту для разных субъектов, AppArmor этого не умеет.

а зачем их отключать?

В смысле, AppArmor устанавливает одинаковые политики для всего, чему требуется доступ к программе или файлу?

Расскажите лучше: зачем оно на типичном локалхосте?

Это всё не нужно и не несёт пользы, на такие случаи есть grsecutity rbac

Когда ты на типичном локалхосте поставишь типичный snap/flatpack/«wget | bash»-пакет, никто кроме selinux не спасет твои ssh-ключи и личные фотографии.

SElinux ты можешь запретить доступ не только К объекту
Apparmor ты можешь запретить доступ только ОТ объекта

Использую AppArmor на десктопах в режиме RBAC. На серверах Grsecurity RBAC.

По поводу AppArmor:

• не умеет нормально работать с сетью (обещали в будущем реализовать). Если это принципиально — лучше сразу смотреть на TOMOYO.
• не может работать по uid/gid объектов (обещали в будущем реализовать), все что есть — это «owner» (т.е. проверка uid-а только на владельца).
• RBAC реализован через pam модуль + специфические вставки в профилях http://wiki.apparmor.net/index.php/RBAC_2_3 (если надо что-то более «монструозное» — смотрите в сторону Grsecurity RBAC, там все «своё»).

разность подходов и принципов работы.

AppArmor - черные списки.
SELinux - белые списки.

От этого отличия ростут уши у всех особенностях той или иной системы.

Типичный «wget | bash»-пакет при желании легко потырит ключи еще на этапе установки.

Использую SELinux на локалхостах. Чтобы разобраться, пришлось взять платные консультации у разработчика, я остался доволен результатом. Теперь оришинальный скайп, который изредка нужно запускать, не потырит ключики.

Расскажите лучше: зачем оно на типичном локалхосте?

Когда ты на типичном локалхосте поставишь типичный snap/flatpack/«wget | bash»-пакет, никто кроме selinux не спасет твои ssh-ключи и личные фотографии.

Это звучит конечно хорошо, и Дэн Уолш отличный парень, но на практике у меня пока даже /usr/lib64/firefox/firefox работает в unconfined домене, по причине того что слишком много ломается вещей. Хотя, справедливости ради, для старого npapi flash был свой домен mozilla_plugins_t (вроде так, не проверить, так как я много лет не использую npapi flash).

Это в targeted. А уж о том, чтобы включить домены для интерактивных сеансов (или что такое wget | bash?) или mls из коробки и вовсе я не слышал чтобы кто-то заикался.

не умеет нормально работать с сетью (обещали в будущем реализовать).

Там часто, одного правила достаточно

network,
#или
deny network,

network inet stream,

Когда ты на типичном локалхосте поставишь типичный snap/flatpack/«wget | bash»-пакет, никто кроме selinux не спасет твои ssh-ключи и личные фотографии.

Откуда такое плохое мнение о типичных линуксоидах? Не все ж они ССЗБ, что будут пользоваться этой хренью.

оришинальный скайп, который изредка нужно запускать, не потырит ключики.

Почему скайп будет тырить ключики?

Просто «вкл/выкл» не интересно. Я за это говорил: http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference#Network_rules , но когда это реализуют — непонятно (как я понял, это на 3-ю версию пойдет уже).

Закрытая малварь же. https://stallman.org/skype.html

По умолчанию предполагаю самое плохое от такой враждебной сущности. Про ключики так, для примера того, что надо защищать.

Вот представь, ты глава Microsoft. У тебя все просто круто, куча денег, яхта, даже три, бассейны, дома. Ты даешь команду воровать ключи у нищебродов. Тебя на этом ловят за руку после дисассемблирования и трейснига. Подают в суд и ты его естественно проигрываешь, так как это очевидное нарушение закона, тебя никакой юрист не спасет. Потом по правилу прецендента ты начинаешь проигрывать тысячи таких же судебных исков. Компания выплачивает сотни миллионов. Инвесторы в бешенстве, акции падают. Компания разваливается на части. Ты банкрот, продаешь свои яхты и возможно стоишь на паперти.

Ну как, реалистично?

Судя по восторгу, с которым встретили снапы и прочие докеры, нас в скором будущем ждёт вал софта, который работает только на том дистре, которым пользуется хипсавтор, а остальным будет рекомендовано вооружать поделие вместе с этим дистром в виде «пакета». Так что не спешите смеяться.

Куча софта уже сразу в докер контейнере с нужным дистром

История нас учит, что сильные мира сего редко так опасливы. Иначе не было бы WWII и много чего ещё.

http://techrights.org/wiki/index.php/Microsoft_and_the_NSA

Skype, лезет в профиль firefox. И нельзя точно утверждать, что это просто для того чтобы проверить наличие своего плагина «Click to Call», которого кажется под Linux и нет.

viewizard

Просто «вкл/выкл» не интересно. Я за это говорил: http://wiki.apparmor.net/index.php/AppArmor_Core_Policy_Reference#Network_rules , но когда это реализуют — непонятно (как я понял, это на 3-ю версию пойдет уже).

Да address ranges не работает, и как-то и нужно не было. Но согласен, нужно.

К чему этот комментарий вообще? Если контейнеры продвигаются как способ установки отдельной софтины, что мне пользы от того, что там ещё куча софта, если эта куча софта дублирует то, что и так доступно в первичной системе пользователя?

Если кто может порекомендовать гибкий настройщик SELinux, буду признателен!

Я думаю что идея обычно в том, что используется слоенная ФС и если такие контейнеры сделаны на основе одного и того же базового популярного образа (какая-то убунта LTS), то может достигаться экономия после уплаты стоимости базового образа в виде места на диске

Типичный локалхост может быть точкой доступа к десяткам и сотням серверов. Например, обычный домашний десктоп админа или программиста, который работает в том числе и дома.

Но они же не будут на основе одного образа. Допустим, Вася поддерживает совместимость своей софтины только с Fedora Rawhide, Петя - только с Ubuntu, Сеня - с CentOS 6 (где глибц от 2010 года), а мне на моей Gentoo нужны их софтины.

не вижу особого смысла пользоваться SELinux после блоба в ядре

блоб-то и отключить этот SELinux может при желании

а при чём глава, обвинят какого-нибудь сотрудника, типа его «иностранные спецслужбы завербовали», и уволят максимум :)

Я думаю что это когда надо определять кого садить, а штрафы компания будет платить

Я думаю что реалистичнее будет все же альфа-и-омега-самый-популярный африканский дистр LTS.

Ты даешь команду воровать ключи у нищебродов. Тебя на этом ловят за руку после дисассемблирования и трейснига.

Массово воровать ключи у нищебродов глупо, а вот таргетированная атака вполне может быть реализована. Во время очередного планового апдейта жертве придёт немножко не такое обновление, как у остальных, и вот оно ключики стырит. Потом может даже самоуничтожится. Вероятность, что именно эту версию расковыряют и дизассемблируют специалисты, достаточно мала. Да и доказать причастность майкрософта к этому трудно будет

Как раз для контейнеров SELinux - необходимая вещь. Контейнеры сами по себе защиты не обеспечивают никакой, и всякие Paas наподобие OpenShift возможны только благодаря SELinux-политикам.