LINUX.ORG.RU

SeLinux и NSA

 ,


0

2

Как-то раньше не задумывался об этом, а вот сейчас показалось весьма любопытным:

«Исследовательский проект АНБ SELinux добавил архитектуру мандатного контроля доступа к ядру Linux, и позднее был внесён в главную ветвь разработки в Августе 2003 года.»

http://ru.wikipedia.org/wiki/Мандатное_управление_доступом

PS: это как бы намекает, что с тех пор linux начали применять и для систем с гос.тайной (где мандатный контроль доступа необходим).

Всё возможно. Дэн Уолш — тот ещё «црушник» ;)

carasin ★★★★★ ()

Нет ли там бэкдоров, специально по такому случаю?

Pyzia ★★★★ ()
Ответ на: комментарий от soomrack

Его тут вообще кто-то юзает? Выглядит, как что-то труднодоступное для понимания.

Pyzia ★★★★ ()
Ответ на: комментарий от amorpher

А если человек вообще далёк от линукса, осилить ЭТО будет очень трудноо или для начала нужно осилить что-то попроще?

Pyzia ★★★★ ()
Ответ на: комментарий от Pyzia

Я пробовал. Но потом отказался. Решил, что мне это не нужно.

soomrack ★★★ ()
Ответ на: комментарий от amorpher

В наше неспокойное время верить можно никому, сами знаете...

Pyzia ★★★★ ()
Ответ на: комментарий от amorpher

Если это слой НАД uid, значит за обычные разрешения можно не париться и настраивать всё и сразу в selinux?

Pyzia ★★★★ ()
Ответ на: комментарий от soomrack

Кстати, насчет selinux. написание своей политики как-нибудь описано? Что вообще надо?

cvs-255 ★★★★★ ()
Ответ на: комментарий от Pyzia

Нет, не значит.

Если город защищен несколькими периметрами стен, это не значит, что достаточно одного периметра.

Deleted ()
Ответ на: комментарий от Pyzia

Выглядит, как что-то труднодоступное для понимания.

Это мой главный вопрос: как такое уродство вообще можно было придумать. На весь лор тут было всего три человека которые действительно понимали selinux.

Я вижу тут заговор.

true_admin ★★★★★ ()
Ответ на: комментарий от cvs-255

написание своей политики как-нибудь описано?

Тонны мануалов на сайте rh и в инете. Но от этого проще не становится.

Короче, я всё понял: оно такое сложное сделано чтобы люди его отключали. Я серьёзно, ни один из наших клиентов не мог справится с этим selinux. Вечно были проблемы с панелями управления, сайтами итп. В результате а) при первых же проблемах его отключали б) во многих инструкциях к платному ПО сказано «отключайте selinux». Вот такой вот хитрый план.

Для сравнения: apparmor тупо можно и не учить, достаточно посмотреть на конфиге. Но, он, увы, менее гибок и не без косяков. Не знаю как сейчас, а раньше нельзя было, например, процессу читать /proc/<свой пид>/. Хотя, /proc/self сделать можно было.

true_admin ★★★★★ ()

дык мало того, что там ещё и другие системы мандатного контроля впилили, несколько лет назад. Например японские TOMOYO, SAKURA и прочее.

n_play ()
Ответ на: комментарий от true_admin

Как я понимаю, единственная альтернатива-Tomoyo? Аpparmor не впечатлил, Grsecurity-вообще не то.

Pyzia ★★★★ ()
Ответ на: комментарий от true_admin

А зачем SeLinux для обычной жизни? Это же фактически интеграция в ядро схем и методик ограничения доступа, которые приняты в системах гос.безопасности, которые в свою очередь нужны для обеспечения ограничения доступа в уже работающих «социальных» системах (коллективах, службах).

soomrack ★★★ ()
Ответ на: комментарий от soomrack

А зачем SeLinux для обычной жизни?

На системах с selinux процентов 70-80% эксплоитов не работают. В самом selinux тоже находили дырки, но, в целом, с т.з. безопасности, пользы гораздо больше чем вреда.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

А в QNX их еще меньше, а в Minix вообще ни один из них ничего работать не будет. Риск реального заражения действительно такой высокий, что selinux нужен? И речь идет действительно о SeLinux или может быть о PaX (который к нему никакого отношения не имеет)?

soomrack ★★★ ()
Ответ на: комментарий от soomrack

Риск реального заражения действительно такой высокий, что selinux нужен?

Риск есть. Высокий он или нет — решать тебе.

речь идет действительно о SeLinux

Да.

true_admin ★★★★★ ()
Ответ на: комментарий от Pyzia

единственная альтернатива-Tomoyo?

Я с ней практически не знаком и никогда не ставил. Но, мне кажется, они все разные по набору фич.

Аpparmor не впечатлил

Почему? Впрочем, мне самому оно не очень нравится, но оно работает.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Я с ней практически не знаком и никогда не ставил. Но, мне кажется, они все разные по набору фич.

Они идеологически разные. Tomoyo, в отличие от SeLinux, завязан на пути к файлам, поэтому без дополнительной защиты его политики можно обойти (например при помощи mount -o bind). Но мне он показался проще и удобнее, менее громоздким. К тому же, позволяет не писать политики, а генерировать их в режиме обучения.

feofan ★★★★★ ()
Последнее исправление: feofan (всего исправлений: 1)
Ответ на: комментарий от feofan

завязан на пути к файлам

Это, имхо, не делает их идеологически разными.

его политики можно обойти (например при помощи mount -o bind)

Можно конкретный пример сценария как это эксплуатировать? Потому что mount может сделать только рут. Если у тебя увели «полного рута» (не ограниченного ничем) то тут уже ничто не поможет.

Потом, нормальный профиль запрещает читать всё кроме того что нужно.

генерировать их в режиме обучения.

По-моему, щас все так умеют. Что selinux, что apparmor, что tomoyo.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Можно конкретный пример сценария как это эксплуатировать?

Конкретных примеров нет, но теоретически возможно.

Если у тебя увели «полного рута» (не ограниченного ничем) то тут уже ничто не поможет.

MAC для того и существует, чтобы можно было ограничить даже рута, иначе было бы достаточно простого разграничения прав по пользователям и группам.

Потом, нормальный профиль запрещает читать всё кроме того что нужно.

Верно, поэтому я и написал:

без дополнительной защиты

генерировать их в режиме обучения.

По-моему, щас все так умеют. Что selinux, что apparmor, что tomoyo.

Возможно, давно не мониторил.

feofan ★★★★★ ()
Ответ на: комментарий от feofan

можно было ограничить даже рута

Так можно же. apparmor это умеет.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

Так можно же. apparmor это умеет.

Где ты увидел противоречие? И apparmor в этом не уникален — любая система MAC это может.

feofan ★★★★★ ()
Последнее исправление: feofan (всего исправлений: 2)
Ответ на: комментарий от true_admin

Это, имхо, не делает их идеологически разными.

«Контекст vs метаданные (path)» это как раз и есть разная идеалогия. Контекст предоставляет новый уровень абстракции, пожтому он более гибкий, но достоинство это или нет — зависит от ситуации. Ключевой недостаток ограничений на основе путей это то, что правила требуется дополнять при копировании объекта. Но все зависит от квалификации мастера.

soomrack ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.