Давайте по-другому: может кто-нибудь описать реальный юзкейс?
Серьезно, очень интересно. Слышал, что на Западе пользуется технология популярностью. Хотклось бы понять, насколько оно надо и стоит ли с ним разбираться.
Слышал краем ухом это чем-то связаное с мандатным управлением доступом, хотя хз шо значит мандатное?) Слово мандат я слышал только на выборах, когда кто-то начитает баллотироваться в кандидаты президента или депутата постоянно слышится это слово мандат. А вообще на вики есть отдельная статья.
Чтобы когда ты кликнул на email с html payload, который запустит на твоём древнем дырявом встраиваемом webkit'е произвольный код, он смог от силы стырить твой пароль приложения для почты, который ты потом отзовёшь.
Веб-браузер под системой управления доступом может и рад отправить твои биткоины и пак с котиками на китайский сервер, но так вышло, что читать и писать ему можно только в директорию с загрузками. Даже пароль от рута, любезно предоставленный пользователем, в этом деле ему не поможет.
вопрос этот задается регулярно в т.ч. на англоязычных бордах. ответ примерно такой: он нужен для сертификации для поставки в федеральных учреждения США, также как альту иногда нужна сертификация от ФСБ.
мало людей, которые selinux используют. еще меньше людей, которые способны не просто оставить его включенным по дефолту, а объяснить, какие реальные задачи они решают, рассказать про потенциальный вектор атаки и прочее-прочее. в банках, может быть.
Веб-браузер под системой управления доступом может и рад отправить твои биткоины и пак с котиками на китайский сервер, но так вышло, что читать и писать ему можно только в директорию с загрузками.
[пример того, о чем я пишу выше] да твой браузер и так имеет кучу полномочий с доступом к dev, просто чтобы работать. а для твоего случая selinux не нужен, достаточно простого chroot.
еще меньше людей, которые способны не просто оставить его включенным по дефолту, а объяснить, какие реальные задачи они решают
Так ведь многие и не замечают, что он включен, пока не начинают ствить-компилять софт, которого нет в репозиториях. У всего софта в репозитории политики в комплекте идут. Так что «оставить включенным» — не достижение.
я бы вообще перефразировал вопрос ТС и спросил бы в треде: кто может привести пример, когда [у него] была зафиксирована атаки и selinux не позволил развить вектор. вот это вполне осмысленный вопрос.
Мне не нужен, я apparmor юзаю, т.к. у меня Ubuntu. Нужен для ограничения некоторых в первую очередь проприетарных приложений. Раньше скайп, вроде, оборачивал в такую штуку, чтобы он не лазил в директории браузеров и не читал историю.
Там ладно, тебя все мягко послали и не стали ни разжевывать, и не дали развернутых пруфов. А тут то?
Ну представь, что 99% linux-систем обмазаны selinux по самое не могу. Даже тупо сбрутив пароль дальше в скрипте будет уже учтено, что тут эта зараза и дальше оно полезет исходя из этого соображения. Согласен?
Вот так и работает коллективный иммунитет. Он и сейчас так работает на десктопах, например, яркий пример: 99,9% «зловредов» рассчитаны на то что у пользователя windows, потому можно практически спокойно сидеть на linux-desktop без антивирусов (но вон Зенитар ловил и под линукс, теперь с антивирусом), и без всяких selinux. Обычный десктоп «домохозяйки» – это Неуловимый Джо и ему ни чего не угрожает.
какой пароль? в каком скрипте? поток сознания какой-то. никто не спорит, что десктопные вирусы делают под винду. проблема в том, что ты не понимаешь, как работают атаки на linux, какие они бывают и т.д. а я этим интересовался еще до того, как ты сел за компьютер (в 200х каком-то там занял место на CC в питере, если тебе это интересно). и мое имхо, что selinux практически ни от чего не защищает. для его эффективности требуется интеграция с тем, что он собсно защищает. это не только подгонка политки, но и модификация самого приложения.
Там ладно, тебя все мягко послали и не стали ни разжевывать, и не дали развернутых пруфов.
нет, дорого, это я тебя вытащил из бана в том треде потому что надеялся на пруфы и факты, а теперь отправлю назад, чтобы глупости не читать:)
Какой пароль? На ссш. Кто сбрутит? Скрипт. Зачем? Спам рассылать, биткойны майнить, зашифровать все нафик и просить биткойны для выкупа. А целевые атаки – это другое, и штатные политики тут конечно не защитят, согласен полностью.
а теперь отправлю назад, чтобы глупости не читать:)
Фы, мне то как раз все равно, это ты мне постоянно указываешь что игноришь меня.
ну потому что его угробили, поэтому ты его и не видел. я тоже его году в 14 последний раз запускал, а теперь веб версией пользуюсь.) опять же в отдельной сессии, чтобы оно CEO-задачи не могло выполнять) вебверсия - это черный юмор такой... 3 стиля смайликов на одной странице... сообщения случайным образом приходить или не приходят в два разных окна и т.д. ну в общем пользуемся:)
да, я тоже его вместе со скайпом использовал. действительно, он проще, чем selinux и в этом его достоинство. в смысле, что безопасность и удобство всегда конфликтуют.
Для сертификации нужен. В организациях, где есть специально обученная оплачиваемая должность security officer (не админ и не разработчик). Им не лень и политики написать, и софт под них модифицировать. Зачем остальным? Такие организации поштучно пересчитать можно, поэтому эффекта качества и проработанности от числа юзеров не добиться (спецрешения всегда выливаются в формальное УГ). Поэтому шляпа и тестирует его на всех остальных.
Когда-то давно я участвовал в сборке спецдистрибутива для запуска одной большой и страшной утилиты. И там были жёсткие требования к безопасности. Помимо того, что мы использовали дефолтные политики selinux, мы ещё писали политики для этой самой утилиты. Так вот в процессе, когда всё было готово, и политики включили, утилита стала падать. После анализа логов selinux выяснилось, что она при старте пытается прочитать /etc/passwd, куда разумеется доступов в политиках не выдавалось. Пнули авторов утилиты, проанализировали код и выяснили, что там какими-то хитрыми костылями оно пыталось выяснять UID и GID пользователя, из-под которого запущено. Переписали код по-человечески и всё заработало.
Это, конечно, не совсем такой пример, как ты просил, но пример того, как потенциальную дыру в безопасности закрыли.
спасибо, имхо этот пример совершенно не связан с закрытием потенциальной дыры (обращение к /etc/passwd является абсолютно нормальным и легитимным в повседневной работе), зато явно подтверждает мои слова, что эффективное использование selinux предполагает адаптацию приложения.
Не совсем верный вывод. Конкретно в данном случае с помощью selinux мы выявили, что утилита лезет к файлу, к которому она по спецификации не должна была лезть. Не важно какой это файл.
Например, если у тебя выключен selinux, ты не узнаешь, что твой браузер или мессенджер уже давно прочитал и отправил содержимое твоего ~/.ssh/ и ~/.bash_history каким-нибудь китайским хакерам и они уже давно положили на твой сервак спамбота. С selinux этого не случится, а у тебя в логах появится сообщение о неразрешённом поведении программы.