AppArmor если lunix , selinux если андроид для линукса selinux проблемный

Найдешь ответ, если прочитаешь описание к AppArmor и SELinux.

В описаниях общая теория как работают системы и не слово о доступности профилей для типовых сборок ОС. По факту, после установки Ubuntu в AppArmor крутится всего пару десятков профилей, а если добавить из типовых шаблонов Mozilla Firefox (именно она работает с сетью!), то приложение перестает запускаться. Т.е. профилей мало и они работают через попу.

Что происходит в SELinux с профилями для Ubuntu- тоже скорее всего выяснится только по факту установки и попытки использовать систему.

Профили есть на гитхабе, например. Любой профиль легко адаптируется для любой системы. Если нужный не найден, придется пидориться и писать вручную. Если тебе нужно простое решение – AppArmor твой выбор из-за простоты реализации и управления. SELinux может заставить тебя поседеть и изрядно потреплет нервы.

Никакая. Это системы для специалистов, не для конченых пользователей. Выбирай поставщика, который поставляет то, что тебе подходит больше.

Единственные готовые рабочие профили, которые я видел, были в федоре/центоси. Естественно для selinux.

Под дебиан/убунту профили есть только для пинга и тому подобной херни. Если ты не готов по долгу разбираться с профилями для всего, а то и делать их с нуля, то озвученной цели ты вряд ли добъёшься.

Под дебиан/убунту профили есть только для пинга и тому подобной херни.

Это не так.

дебиан/убунту

Я бы не стал ставить знак равенства между полуфабрикатом и продуктом.

Это не так.

А подо что ещё есть? nginx, tomcat, postgres - под это всё их нет, под пинг есть. Выводы напрашиваются сами собой.

Я бы не стал ставить знак равенства между полуфабрикатом и продуктом.

Убунта сама делает профили? Вроде как берёт готовые из дебиана. Но тут я не проверял.

tomoyo linux под силу настроить даже неспециалисту

а вообще аппармор из коробки идет в убунте

так что не выеживайся и просто ничего не трогай. оставь дефолты

А подо что ещё есть?

Как минимум под средства виртуализации и контейнеризации.

Убунта сама делает профили?

Есть два поставщика профилей: Canonical и SUSE (или как оно там называется). Они (сейчас больше Canonical вроде) разрабатывают AppArmor, и только в их продуктах он нормально работает, то есть имеет все фичи.

Вроде как берёт готовые из дебиана.

Наоборот совсем.

Как минимум под средства виртуализации и контейнеризации.

Ну это, конечно, хорошо, но к ограничению приложений не особо отношения имеет. Речь в ОП явно не про сервер виртуализации была.

и только в их продуктах он нормально работает, то есть имеет все фичи.

А в чём отличие аппармора убунты от дебиановского? Я не спец по нему, но вроде всё тоже самое.

Наоборот совсем.

Спасибо, буду иметь ввиду.

Речь в ОП явно не про сервер виртуализации была.

Там было про десктоп. Ну у них вроде покрыты многие официально поддерживаемые приложения, хз.

А в чём отличие аппармора убунты от дебиановского?

Во-первых, он в принципе работает как надо. Во-вторых, умеет работать с сетью, dbus, и что-то там ещё. Насколько я понимаю, Proxmox использует как базовое ядро из Ubuntu не в последнюю очередь ради AppArmor. Там свои патчи, которые постепенно принимают в апстрим, но это происходит небыстро из-за разных ограничений LSM.

«а вообще аппармор из коробки идет в убунте»

Я вверху написал, что запустил профиль Mozilla Firefox и приложение перестало запускаться. Так что изкаробки нифига не работает.

Уровень "B" - мандатный контроль доступа

1. MAC очень дорогая система безопасности.

2. MAC стоит внедрять только после того, когда уже есть идеально вылизаные: DAC, Audit, Integrity, CAP, IDS.

3. MAC не защищает от вирусов, а предотвращает их распространение когда все системы пункта 2 (уровня «C») вирусу удалось пробить. MAC это не защита, а «система дающая гарантии минимизаци распространения вреда от вирусов» в зараженной ОС.

4. При выборе MAC стоит учитывать:

4.1. Дистр где MAC УЖЕ готов. Наличие серта по уровню «B*».

4.2. Удобство формата правил контроля доступа: Обновление Fedora в KDE Plasma 5 (комментарий)

4.3. Использует ли MAC стандартный LSM ядра Linux или имеет свои собственные хуки в ядре OS.

4.4. Есть ли утилита для самообучения и автоматического написания правил MAC, которые можно потом верифицировать и скомпилить.

Полную защиту обеспечивает только антивирус и защитный экран Касперского

запустил профиль Mozilla Firefox и приложение перестало запускаться.

Firefox - овно от компании Mozilla которое для своей вредительской работы требует выделение памяти в режиме WX, что противоречит основополагающему принципу DAC. Любая OS в которой реализован уровень C, требующий реализации полного DAC, включая все процессы и страницы оперативной памяти, убьет Firefox как вирусный процесс.

Chrome надо пересобрать с опцией «–jitless» Начата работа над целями KDE Frameworks 6 (комментарий)

«Единственные готовые рабочие профили, которые я видел, были в федоре/центоси. Естественно для selinux.»

Интересно, а в какой из этих двух осей это удобнее реализовано?

Одинаково неудобно, если ты не можешь с закрытыми глазами написать с нуля полную политику SELinux.

Интересно, а в какой из этих двух осей это удобнее реализовано?

Оно там одинаково. По сути центос - это чуть протухшая федора. Профили берутся те же.

С селинухом основное неудобство - это не всегда чётко понятно к каким файлам не удалось получить доступ. Но лично у меня серьёзных проблем это не вызывало. Но из этого неудобства рождается и плюс: для добавления доступа можно не редактировать профиль, а расставить файлам соответствующий контекст.

В общем лучше сам потыкай оба, попробуй написать политику и т.п. Имхо, старт на федоре/центоси будет проще, но тут уж тебе решать. Я аппарморов не знаток.

Выбирай какие-нибудь контейнеры (что-нибудь типа firejail) или виртуалку. SELinux конечно хорошая штука. Но одна проблема - абсолютно безумная система генерация правил. И, как следствие, отсутствие вменяемых способов их генерировать для каких-нибудь нестандартных приложений. AppArmor имхо вообще недоразумение.