AppArmor и Yama будут включены в Linux-ядро 2.6.36

Осильте уже RSS.

ядро станет ещё больше.

Теперь интеграция WinAPI в ядро не страшна, возможно даже в основную ветку примут, буду ждать новых релизов

мда. Ядро и так не отличается особой стройностью, и в нем уже есть более кошерные SElinux, SMACK и TOMOYO, так теперь еще и это дырявое говно притащили. Кому оно нужно? Зачем в ядре 4 технологии, делающие одно и тоже, из которых 2 - кривое решето и один велосипед.

Линукс.

>теперь еще и это дырявое говно притащили

Стоять, поймался зелёненький! Техническое обоснование с примерами в студию, или ты просто лжец.

Кому оно нужно?

В убунте оно по умолчанию, примерно у 70% линуксоидов. Нужно нам, большинству.

Зачем в ядре 4 технологии, делающие одно и тоже, из которых 2 - кривое решето и один велосипед.

Смотри моё первое сообщение. И да AppArmor доказала свою эффективность в 2008 году, когда на всемерном соревновании хакеров, Ubuntu не удалось взломать из за AppArmor. Что предоставишь кроме «дырявое говно» нам ты?

всемерном/всемирном

>или ты просто лжец.
а это не мои домыслы. На любом заборе, где упоминается apparmor, рядом же упоминается его главная дырка by design - привязка к имени файла.

В убунте оно по умолчанию

угу, и убунтовский разработчик же его пилит. Вот только 99% убунтойдов об apparmor даже не слышали, а кто слышал - в действии так и не видел.
Так что нужно оно нескольким разрабам убунты, а никак не всем ее пользователям.

Смотри моё первое сообщение

так это и есть твое первое сообщение. Или ты щас признался, что пишешь под несколькими учетками?

на всемерном соревновании хакеров,

ссылку в студию

> Вот только 99% убунтойдов об apparmor даже не слышали

ссылку в студию (c)

>В убунте оно по умолчанию, примерно у 70% линуксоидов. Нужно нам, большинству.

Да это вам как плацебо, всё равно эти 70% линуксойдов его настраивать не умеют

>Теперь интеграция WinAPI в ядро не страшна, возможно даже в основную ветку примут, буду ждать новых релизов

Да классно будет) если на нативном уровне в линуксе, можно будет гонять виндовский софт.

Если что, то Windows это не только WinAPI

>Да это вам как плацебо, всё равно эти 70% линуксойдов его настраивать не умеют

Оно настроено по умолчанию, никто не мешает сделать гуевую конфигурялку, да, и среди убундоидов немало профессиональных программистов.

Ну я понял уже, все убунтойды любители обмазываться свежим apparmor и профессионально программировать (казалось бы, как apparmor связан с программированием?)

Там два велосипеда.
TOMOYO настраивается так же просто, как и AppArmor, а по полезным плюшкам и уровню защиты — значительно круче.

То есть, ты считаешь, что если человек программист, то он умеет все настраивать?

>(казалось бы, как apparmor связан с программированием?)

Ну я имел введу, что есть кому написать конфигурялку для AppArmor.

То есть, ты считаешь, что если человек программист, то он умеет все настраивать?

Нет.

>Там два велосипеда.
TOMOYO тоже привязан к имени файла, поэтому я его отнес к классу «кривое решето» :)

никто не мешает сделать гуевую конфигурялку, да

Так есть гуевина или нет?

И что тогда за гуевина в Центре управления Мандривой?

Да как же они задостали совать в ядро разное дерьмо. Лучше бы SELinux пилили до искоробочного состояния. Напихали разных кастратов, которыми просто _нельзя_ пользоваться, и еще пихают

TOMOYO 2.x - кастрированное говно. В отличе от 1.х, который действительно ок. Но в ядре именно 2.х

>И что тогда за гуевина в Центре управления Мандривой?

гуевина к tomoyo //K.O.

> ядро станет ещё больше.

а чем это страшно? на скорости работы и размере бинарика это почти не скажется.

>Лучше бы SELinux пилили до искоробочного состояния.

1) SELinux разработан минодороны САСШ. ты не поцреот?

2) selinux слишком крут для обеспечения безопасности домашнего компьютера, сидящего за натом провайдера, и при этом требует дополнительных затрат ресурсов

> Лучше бы SELinux пилили до искоробочного состояния.

а что с ним не так? Дыр в самом коде вроде не находили. Проблема не с SELinux а с правилами для него: IMHO никто кроме авторов из АНБ и нескольких популяризаторов на зарплате у RedHat правила писать не умеет, и для простых смертных «настройка SELinux» сводится к отключению той или иной проверки.

гуевина к tomoyo //K.O.

Кстати, очень удобная шняга. Мандриве респект. Где еще она присутствует в таком же виде?

Ну я вообще правила и имел в виду. Правила писать просто, но нудно. Кстати да, видел кучу мануалов типа «как пофиксить права на модуль апача» тупо разрешая все подряд. Повбывав бы.

1. И чо?

2. Слишком круто, по этому мы напихаем всякого говна. Для безопасности домашнего компьютера это всё не нужно вообще.

Немного не в тему, но рядом. Посоветуйте какой-то простой туториал по SElinux. Попытался освоить http://docs.fedoraproject.org/en-US/Fedora/13/html/Security-Enhanced_Linux/in..., но не вышло. Как-то всё мутно или ума/опыта не хватает, а штука интересная.

>TOMOYO 2.x - кастрированное говно.

Даже это «кастрированное говно» по возможностям превосходит AppArmor.

TOMOYO 1.x я вообще не рассматриваю — вместо того, чтобы вкладываться в LSM, навертели собственных хуков, прекрасно понимая, что в ядро это никогда не пройдет. ССЗБ, в общем.

> Даже это «кастрированное говно» по возможностям превосходит AppArmor

Это значит что говн станет необоснованно больше. И что? :]

>Это значит что говн станет необоснованно больше.

Ага.

И что? :]

Убунту — главный спонсор линуксокапца?

> TOMOYO тоже привязан к имени файла, поэтому я его отнес к классу «кривое решето» :)

Это не так плохо, как может показаться на первый взгляд :] У этого подхода могут быть как плюсы, так и минусы. Печально то, что в 2.x нет этих плюсов

>Посоветуйте какой-то простой туториал по SElinux.
«простой» и «SElinux» - взаимоисключающие вещи. Осиль лучше SMACK

>никто не мешает сделать гуевую конфигурялку, да
Раз у убунтоидов ее до сих пор нет, значит им что-то мешает. Религия, например. В YaST она есть с openSUSE 11.0, ЕМНИП.

>У этого подхода могут быть как плюсы, так и минусы.
не вижу никаких плюсов, кроме возможности работы на недоразвитых ФС, но плюс это тоже весьма сомнительный

>selinux слишком крут для обеспечения безопасности домашнего компьютера, сидящего за натом провайдера

кроме selinux в ядре уже есть 2 других аналога, один из которых как раз рассчитан на простоту. На кой черт там нужен еще один?

ядро станет ещё больше.

Пересобрать религия не даёт?

Прозрачные политики для созданых в процессе работы исполняемых файлов например, прозрачная пристыковка в рантайме разного говна итд. Это просто другой подход

>кроме selinux в ядре уже есть 2 других аналога, один из которых как раз рассчитан на простоту.

Оба.

SELinux с его MLS, RBAC и прочими плюшками рассчитан главным образом на продакшен с квалифицированными админами.
А SMACK и TOMOYO — довольно простые в настройке системы, которые вполне пригодны для защиты десктопов и некритичных серверов.

пересобрать-то всегда можно, но мне почему-то всегда не везет, то ошибки при сборке, то не загружается система.

Это руки.

Ты прав.

У меня особой необходимости в нём пока не возникало, просто хотел разобраться. Вопрос был в туториале, потому что такое ощущение, что тот (что по ссылке) написан для роботов. Думал может есть другое какое чтиво.