LINUX.ORG.RU

Управление доступом на основе ролей в SELinux

 , ,


0

0

Управление доступом на основе ролей (RBAC) – это общая модель обеспечения безопасности, которая упрощает администрирование путём назначения ролей пользователям и установки разрешений для этих ролей. RBAC в Linux с повышенной степенью безопасности (SELinux) действует как уровень абстракции между пользователем и лежащей на более низком уровне моделью type-enforcement, которая обеспечивает более точное управление доступом, но не ориентирована на простоту управления. В этой статье вы узнаете о том, как совместная работа трёх элементов контекста SELinux (политика, ядро и пространство пользователя) реализует RBAC и связывает пользователей Linux с политикой TE.

>>> Подробности

★★★

Проверено: Shaman007 ()

Re: Управление доступом на основе ролей в SELinux

Хорошая статья, спасибо

Ej_Pulsar ()

Re: Управление доступом на основе ролей в SELinux

Как SELinux или любая другая система контроля доступа помогает в борьбе со скрытыми каналами?

i82 ★★ ()

Re: Управление доступом на основе ролей в SELinux

С помощью скрытого канала можно передавать информацию с любого на любой уровень и сам по себе SELinux тут не поможет.

Можно только выявлять подозрительные программы, которые такой скрытый канал организуют

anonymous ()

Re: Управление доступом на основе ролей в SELinux

По ссылке ходил, IBM за присвоение контента после его перевода осуждаю (с)

anonymous ()

Re: Управление доступом на основе ролей в SELinux

Зачётная статья, всегда хотел прочитать что-нибудь более или менее понятное про SELinux. Во всем, что я видел до этого -- какое-то глубоко затеоретизированное говно.

localstorm ()

Re: Управление доступом на основе ролей в SELinux

> killall -9 yum-updatesd

Жееесть. Ну и садисты. Нет чтобы service yum-updatesd stop сказать, обязательно killall, так еще и -9 зачем-то. Незачот.

anonymous ()

Re: Управление доступом на основе ролей в SELinux

> Как SELinux или любая другая система контроля доступа помогает в борьбе со скрытыми каналами?

О каких каналах идет речь, пример можно?

anonymous ()

Re: Управление доступом на основе ролей в SELinux

>О каких каналах идет речь, пример можно?

о тех, которые хрен отловишь... там ссылка есть, можешь прочитать про один из таких... там информация передаётся через задержки отдачи пакетов в сеть.

для российских реалий проще подкупить исполнителя

anonymous ()

Re: Управление доступом на основе ролей в SELinux

Чем это лучше PAM?

iZEN ★★★★★ ()

Чем Ереван!

> Чем это лучше PAM?

Чем арбуз лучше отвёртки?

Это не замена PAM, не конкурент и не альтернативное решение. PAM для аутентификации, то есть для того чтобы пользователь показывал кто он есть. А SELinux для ограничения прав пользователя.

Camel ★★★★★ ()

Re: Управление доступом на основе ролей в SELinux

Во BSD'е есть реализация RSBAC. По сути это почти тоже самое. Только там нет готовых ruleset'ов как в Fedora/RHEL. Т.е. это невозможно использовать. BSD'уны сосут. А насчет selinux - мне он много много раз помог когда на апачевском хостинге пионеры лезли. Теперь и не знаю как без него.

anonymous ()

Re: Управление доступом на основе ролей в SELinux

Хорошая статья, грамотная, специально для виндофиликов, утверждающих, что в linux нет механизма прав доступа на основе ролей и политик безопасности;)

anonymous ()

Re: Управление доступом на основе ролей в SELinux

>Во BSD'е есть реализация RSBAC. По сути это почти тоже самое. Только там нет готовых ruleset'ов как в Fedora/RHEL. Т.е. это невозможно использовать. BSD'уны сосут. А насчет selinux - мне он много много раз помог когда на апачевском хостинге пионеры лезли. Теперь и не знаю как без него. anonymous (*) (13.03.2008 18:42:19)

По-моему SElinux имеется и для BSD.

anonymous ()

Re: Управление доступом на основе ролей в SELinux

В Mandriva 2006 и 2007(октябрь 2005г.) RSBAC было искаропки на ядрах 2.6.12-2.6.17. Жестокая штука. Поначалу отключал в конфиге по недоумию, а когда разобрался - целенаправленно(desktop). Как я понял, позволяет ограничивать права root и создавать пользователя с более высокими, чем root, привелегиями, т.н. "офицера безопасности".

gearbox ()

Re: Управление доступом на основе ролей в SELinux

Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD, есть MAC, RBAC вообще не какого отношения не имеет к PAM, оно скорее опонент sudo, если их вообще можно сравнить, причём реализаций RBAC для Linux несколько, есть RBAC от grsecurity, а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;)

ZANSWER ()

Re: Управление доступом на основе ролей в SELinux

> В Mandriva 2006 и 2007(октябрь 2005г.) RSBAC было искаропки на ядрах 2.6.12-2.6.17. Жестокая штука. Поначалу отключал в конфиге по недоумию, а когда разобрался - целенаправленно(desktop). Как я понял, позволяет ограничивать права root и создавать пользователя с более высокими, чем root, привелегиями, т.н. "офицера безопасности".

Не RSBAC, а RBAC только, можно и такое делать, в Solaris 10 вообще пользователя root можно зделать ролью в RBAC, плюс к этому, есть дофига и ещё тележка готовых профилей, из каропки...:)

ZANSWER ()

Re: Управление доступом на основе ролей в SELinux

>RBAC

Может я что-то путаю, но разве оно не RSBAC называется?

anonymous ()

Re: Управление доступом на основе ролей в SELinux

>> RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

> Значит новость нужно все-таки поправить?

Нет. RBAC - это еще и общий термин, Role-Based Access Control. Поправить надо мозги кому-то в Sun, кто решил сделать это названием продукта.

tailgunner ★★★★★ ()

Re: Управление доступом на основе ролей в SELinux

>Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD

По-моему SElinux это просто название технологии, она во всех осях так называется.

anonymous ()

Re: Управление доступом на основе ролей в SELinux

Ну, как всегда.. По поверхностям пробежались.. Впрочем, это, всё же, лучше, чем ничего..

MiracleMan ★★★★★ ()

Re: Управление доступом на основе ролей в SELinux

> У FreeBSD искароппки есть уровни безопасности.

У Linux одно время были BSD securelevel через LSM искаропки. Затем их выкинули. SELinux гораздо мощнее securelevels.

anonymous ()

Re: Управление доступом на основе ролей в SELinux

> а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;)

В Debian.

$ grep -ri selinux /boot/config-2.6.18-6-686 CONFIG_SECURITY_SELINUX=y CONFIG_SECURITY_SELINUX_BOOTPARAM=y CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0 CONFIG_SECURITY_SELINUX_DISABLE=y CONFIG_SECURITY_SELINUX_DEVELOP=y CONFIG_SECURITY_SELINUX_AVC_STATS=y CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1 # CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULT is not set

Только не активировано по умолчанию, т.к. заипешься перенастраивать правила. Шаг вправо или влево selinux заблокирует нафиг.

anonymous ()

Re: Управление доступом на основе ролей в SELinux

> По-моему SElinux это просто название технологии, она во всех осях так называется.

Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.

anonymous ()

Re: Управление доступом на основе ролей в SELinux

> RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

Стоп, но RSBAC - это фреймворк реализующий RBAC модель, ведь так?? Но ведь её реализует ещё SELinux и grsecurity, соотвественно, RSBAC это просто один из фреймворков, а называеться дли Linux оно так же, RBAC, как и для всех остальных, так же оно завёться и в HP-UX, соотвестенно, таки новость правильная, и к фреймворку RSBAC не какого отношения не имеет...:)

З.Ы. Или я не прав??:-\

ZANSWER ()

Re: Управление доступом на основе ролей в SELinux

>Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.

Ты путаешь.

Вот почитай: http://www.ibm.com/developerworks/ru/library/selinux/index.html

"Конкуренцию SELinux может составить проект RSBAC, реализующий мандатный и ролевой механизмы доступа." Это судя по всему конкурирующая технология.

anonymous ()

Re: Управление доступом на основе ролей в SELinux

>Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD, есть MAC, RBAC вообще не какого отношения не имеет к PAM, оно скорее опонент sudo, если их вообще можно сравнить, причём реализаций RBAC для Linux несколько, есть RBAC от grsecurity, а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;) ZANSWER (*) (13.03.2008 20:15:35)

Вот: "SELinux (англ. Security-Enhanced Linux — Linux с улучшенной безопасностью) — реализация системы принудительного контроля доступа, которая может работать параллельно с классической дискреционной системой контроля доступа. Входит в стандартное ядро Linux". В стандартные ядра 2.6 входит.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.