LINUX.ORG.RU

Canonical повторила попытку интегрировать AppArmor в основную ветку ядра Linux

 , , , ,


0

0

Компания Canonical, продвигающая AppArmor в Ubuntu в роли более простого в настройке аналога системы определения политик безопасности SELinux, предприняла повторную попытку инициировать процесс интеграции AppArmor в основную ветку Linux. Прошлая попытка была осуществлена в 2007 году компанией Novell, но привела лишь к критике со стороны некоторых авторитетных разработчиков ядра.

Основные претензии сводились к недостаточной совместимости с интерфейсом LSM (Linux Security Modules) и привязке к именам файлов вместо реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее замечания и подготовили улучшенный вариант AppArmor, переработанный в плане использования стандартных хуков LSM (задействовали security_path вместо vfs), что повышает привлекательность патча для включения в основное ядро.

Изначально AppArmor представлял собой проприетарный продукт компании Immunix, которая была поглощена компанией Novell в 2005 году. Год спустя исходные тексты AppArmor были открыты компанией Novell под лицензией GPL и интегрированы в дистрибутив openSUSE. В 2007 году основатель проекта и команда разработчиков AppArmor покинула компанию Novell и развитие технологии почти остановилось. Novell сохранила в своих продуктах поддержку AppArmor, но интегрировала в дистрибутив и поддержку SELinux, позиционируя данную технологию как более перспективную. Отказался от AppArmor и дистрибутив Mandriva, перешедший на использование интегрированного в Linux 2.6.30 фреймворка TOMOYO. Единственным оплотом AppArmor остался проект Ubuntu, разработчики которого продолжают развивать технологию и, например, недавно добавили в парсер AppArmor поддержку кэширования правил, что позволило значительно ускорить процесс инициализации во время загрузки.

>>> Взято с OpenNet

>AppArmor

нехватает сравнения его с оналагами в плане качества и скорости работы. И как на попытку реагирует сообщество?

Genuine ★★★ ()

скажите необразованому, зачем нужен этот лисапед? не проще ли прикрутить как надстройку над SELinux (с карточными играми и девушками легкого поведения?)

leg0las ★★★★★ ()
Ответ на: комментарий от MageasteR

>скажите необразованому, зачем нужен этот лисапед?

ну как бы selinux вот я не осилил, а apparmor у меня работает. но таки tomoyo выглядит по документации лучше аппармора...

anonymous ()

Компания Canonical повторила попытку интегрировать AppArmor в основное Linux ядро

И чё им там сказали?)

Jayrome ★★★★★ ()

Объясните темному, зачем вообще нужен селинукс. Не влане что он делает, а в плане являются ли его действия такими уж полезными.

x0r ★★★★★ ()

Закопать поделку, подумать хорошо и занятся вплотную доработкой SELinux. Сколько можно труп воскрешать? =\

gh0stwizard ★★★★★ ()
Ответ на: комментарий от Genuine

сообщество реагирует негативно, свой кактус пусть жрут сами. Кому нужно тот накатит патч.

Robotron ()

параноики и те, кому действительно нужна нужна безопасность, будут использовать SELinux. а зачем дополнительные уровни безопасности хомячкам, я вообще ума не приложу (только CPU тратить)

annulen ★★★★★ ()

А где сравнение? без него некавайно

dotbg ★★★★ ()
Ответ на: комментарий от x0r

>Объясните темному, зачем вообще нужен селинукс. Не влане что он делает, а в плане являются ли его действия такими уж полезными.

Полезно держать на серверах. За счет гибкости в настройке позволит приложениям и пользователям делать только то, что им разрешил. Применений масса.

Пример - берем процесс apache, прав доступа у него по умолчанию больше чем достаточно. Ограничиваем возможность чтения чужих директорий, ограничеваем возможность чтения файлов и /tmp и записи туда.

Также полезно держать на рабочих станциях в рамках предприятия/компании.
Ограничить пользователя только в рамках того, что ему действительно нужно.

Пример - ограничить процессу Firefox возможность читать только те файлы, которых ему достаточно для работы и ограничить возможность записи только туда куда надо. Что это дает? Возможность спокойно хранить файлы с пассами рута от серверов и лазить по пр0н-сайтам :)

gh0stwizard ★★★★★ ()
Ответ на: комментарий от Genuine

>нехватает сравнения его с оналагами в плане качества

Да уже неоднократно говорилось, что apparmor привязывается к именам файлов, и при помощи хардлинков обходится на раз-два.

По скорости, полагаю, существенных различий нет. В любом случае затраты времени на проверки MAC обычно пренебрежимо малы по сравнению с прочими.

И как на попытку реагирует сообщество?


Полагаю, сообщество убунты с криком «за родину!» всецело поддержит.
Сообщество разработчиков Linux более разнообразно по своим реакциям, поэтому посмотрим.

nnz ★★★★ ()
Ответ на: комментарий от nnz

> Да уже неоднократно говорилось, что apparmor привязывается к именам файлов, и при помощи хардлинков обходится на раз-два.

Основные претензии сводились к недостаточной совместимости с интерфейсом LSM и излишней привязке к файловому пути вместо реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее замечания и подготовили улучшенный вариант AppArmor, переработанный в плане использования стандартных LSM (Linux Security Modules) хуков (задействовали security_path вместо vfs), что повышает привлекательность патча для включения в основную ветку Linux ядра.

иногда полезно читать,а потом вонять

skai-falkorr ()
Ответ на: комментарий от skai-falkorr

>Основные претензии сводились к недостаточной совместимости с интерфейсом LSM и излишней привязке к файловому пути вместо реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее замечания и подготовили улучшенный вариант AppArmor, переработанный в плане использования стандартных LSM (Linux Security Modules) хуков (задействовали security_path вместо vfs), что повышает привлекательность патча для включения в основную ветку Linux ядра.

иногда полезно читать,а потом вонять


Феерическая глупость религиозных фанатиков доставляет.

Они лишь немного поменяли структуру вызовов, что слегка улучшило совместимость с LSM.
Привязка к файловым путям как была, так и осталась.

nnz ★★★★ ()
Ответ на: комментарий от annulen

> а зачем дополнительные уровни безопасности хомячкам, я вообще ума не приложу

Правильно! Каждый хомячок должен входить в состав минимум одного ботнета! А Ъ-лоровцы креститься каждый раз при выходе в сеть. А то я смотрю у вас тут все мирно да гладко.

valich ★★★ ()
Ответ на: комментарий от nnz

фееричное в своей глупости убеждение доставляет.думаешь то что в коротенькой новости написано - это все?сочувствую.тяжело тебе в жизни будет

skai-falkorr ()
Ответ на: комментарий от linux4ever

>Ну попробуй утащить в CentOS через дырку в программе данные из $HOME.

В какой программе дырка? В апаче? Так и без селинукса хомяк в безопасности. Или дырка в sshd? и что тут сделает селинукс? libastral в поставку входит?

legolegs ★★★★★ ()
Ответ на: комментарий от skai-falkorr

>фееричное в своей глупости убеждение доставляет.думаешь то что в коротенькой новости написано - это все?сочувствую.тяжело тебе в жизни будет

Пруф на то, что apparmor сейчас работает на механизме, независимом от путей, либо признание вами того факта, что вы идиот.

nnz ★★★★ ()
Ответ на: комментарий от nnz

>apparmor привязывается к именам файлов, и при помощи хардлинков обходится на раз-два.

ага, ну создайте хард-линк, если шелла нет :-) apparmor подходит для серверов, при этом настраивается просто и быстро. еще раз- selinux я не смог осилить, apparmor у меня работает в продуктиве.

anonymous ()

Какого гуя SELinux от Python'а зависит?

den2 ()
Ответ на: комментарий от annulen

>AppArmor: SELinux для неосиляторов!

вообще-то не совсем ;-) selinux для серверов - избыточен, а вот apparmor как раз при наличии у юзеров шелла- бессмысленен. Вы таки думаете почему tomoyo то в ядро втащили при наличии столь замечательного selinux? :-)

anonymous ()

>привязке к именам файлов вместо реализации через ассоциированные с объектом метки

Как этим криворуким говнокодерам можно доверить делать такую серьезную вещь, если они даже кеды собрать не могу по-человечески?

nu11 ★★★★★ ()
Ответ на: комментарий от gh0stwizard

>ограничеваем возможность чтения файлов и /tmp и записи туда
а временные файлы скриптам где хранить?

ограничить процессу Firefox возможность читать только те файлы, которых ему достаточно для работы

а если я захочу на сервер файл выложить через браузер?

nu11 ★★★★★ ()
Ответ на: комментарий от nnz

Пруф на то, что apparmor сейчас работает на механизме, независимом от путей, либо признание вами того факта, что вы идиот.

Ага, а к пруфу, что идиот, линк на скан справочки от врача (-;

ostin ★★★★★ ()
Ответ на: комментарий от anonymous

>selinux для серверов - избыточен

Это ваше имхо, причем, как мы убедились на примере ваших рассуждений выше, не очень квалифицированное.

Впрочем, вы можете подробно и по пунктам объяснить, какие функции SELinux вы считаете для сервера избыточными и почему.

nnz ★★★★ ()
Ответ на: комментарий от ostin

>Ага, а к пруфу, что идиот, линк на скан справочки от врача (-;

Нет, в то, что у него с головой плохо, я верю безо всяких пруфов.

nnz ★★★★ ()
Ответ на: комментарий от anonymous

>ага, ну создайте хард-линк, если шелла нет :-) apparmor подходит для серверов, при этом настраивается просто и быстро. еще раз- selinux я не смог осилить, apparmor у меня работает в продуктиве.

По-вашему, отсутствие возможности шелл-инъекции означает полную безопасность? :D

С вашим уровнем знаний, угроза вхождения вашего сервера в ботнет вполне реальная. Очень надеюсь, что ваш «продуктив» — это домашняя файлопомойка. В противном случае очень сочувствую вашим работодателям.

nnz ★★★★ ()
Ответ на: комментарий от nu11

>а временные файлы скриптам где хранить?

Там где укажешь.

а если я захочу на сервер файл выложить через браузер?


Указываешь директории/типы файлов, к которым у фокса доступ есть и все.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от gh0stwizard

>Там где укажешь.
и чем это будет глобально отличаться от /tmp?

Указываешь директории/типы файлов, к которым у фокса доступ есть и

все.
так я их не знаю заранее. Сегодня мне надо картинку отправить, завтра - кусок скрипта или патч. Один фиг придется разрешать всё.

nu11 ★★★★★ ()
Ответ на: комментарий от anonymous

>нахрена? мое мнение же неквалифицированное :-)

Ну, я честно предоставил вам шанс доказать, что вы не глупость сказали.

nnz ★★★★ ()
Ответ на: комментарий от nnz

>Очень надеюсь..

В противном случае очень сочувствую вашим работодателям.

Кхм. Вы таки определитесь- надеетесь или сочувствуете? :-)

И вообще - я, конечно, понимаю, что понты Вас так и распирают, но как бы никаких доказательств Вашей квалификации я не вижу, только указания на низкую мою.

anonymous ()
Ответ на: комментарий от nnz

>я честно предоставил вам шанс доказать, что вы не глупость сказали.

естественно глупость- я уж лет 15 как противогаз не ношу :-) вообще, рекомендовал бы Вам не пытаться начинать делать столь резкий переход на личности, какой Вы сделали сейчас.

anonymous ()
Ответ на: комментарий от nu11

>и чем это будет глобально отличаться от /tmp?

Тем, что кроме собственных файлов апач никуда не сунется. Апач может создать, прочитать, записать, удалить только файлы от своего процесса (пример, /tmp/httpd-1, /tmp/httpd-2). Но он не может прочитать файл в /tmp с правами в 777, скажем /tmp/readme, созданный другим процессом.

так я их не знаю заранее. Сегодня мне надо картинку отправить, завтра - кусок скрипта или патч. Один фиг придется разрешать всё.


Конечно, так и живут виндузятники - им все разрешено. Безопасность это компромис (с). И в NSA так и сделано, будь ты хоть мегакрутым хацкером, которому дали комп с жестко-настроенным SELinux, то тебе придется отдавать файлы FF только из той директории, которую указал админ. И если вдруг окажется, что ты залил на чужой сервак файл с повышенной уровнем секретности - только ты будешь на 100% уверен, что это твоя вина. А не потому, что нашли очередную дыру, лекарства от которой еще нет.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от anonymous

>я, конечно, понимаю, что понты Вас так и распирают

Как говорится, «по себе людей не судят».

но как бы никаких доказательств Вашей квалификации я не вижу


И мне абсолютно пофиг, что вы думаете о моей квалификации.

Я всего лишь констатирую факт, что вы пишете глупости.

nnz ★★★★ ()
Ответ на: комментарий от gh0stwizard

>Но он не может прочитать файл в /tmp с правами в 777, скажем /tmp/readme, созданный другим процессом.
как бы пофик, в /tmp сроду ничего конфиденциального не лежало

И если вдруг окажется, что ты залил на чужой сервак файл с повышенной уровнем секретности

я не работаю в разведке :)

nu11 ★★★★★ ()

Новость оформлена через ЖОПУ.

Где ссылка на первоисточник? Как можно перейти на соответствующее письмо в рассылке разработчиков ядра?

ttnl ★★★★★ ()
Ответ на: комментарий от anonymous

>>Я всего лишь констатирую факт, что вы пишете глупости.

ну тогда взаимно.


Потрудитесь, пожалуйста, доказать.

Мое утверждение было доказано вами как минимум в двух случаях:
1. Когда вы спросили, как сделать хардлинк без шелла. Любой начинающий саппорт, имея лишь FTP и HTTP-доступ в обычному хостинговому серверу с пыхом, прекрасно сделает на нем хардлинк без использования шелла. Предлагаю вам подумать, как :)
2. Когда вы отказались подтверждать обоснованность своего мнения о том, что «selinux для серверов избыточен».

nnz ★★★★ ()
Ответ на: комментарий от ttnl

>Новость оформлена через ЖОПУ.

Где ссылка на первоисточник? Как можно перейти на соответствующее письмо в рассылке разработчиков ядра?


Это обычная копипаста. Администрация лора окончательно забила на запрет в отношении копипасты, так что теперь главная лора станет зеркалом опеннета.

nnz ★★★★ ()
Ответ на: комментарий от annulen

> а зачем дополнительные уровни безопасности хомячкам, я вообще ума не приложу

Так именно им и нужы, главное, чтоб просто (лучше - аффтаматически ;)). SELinux это для тех кому нужна безопастность уровня предприятия, но сложность настройки (это обще признано) не позволяет _обычным_ пользователям его использовать и даже интересоваться им. Не стоит говорить, что настроеный с ошибками SELinux (в стремлении потешить свое ЧСВ) может только ухудшить ситуацию. А AppArmor вполне по силам продвинутомудомашнему пользователю.

Buy ★★★★★ ()
Ответ на: комментарий от nnz

> apparmor привязывается к именам файлов, и при помощи хардлинков обходится на раз-два.

А в чем проблема тем же AppArmor'ом не разрешать создание жестких ссылок?

sjinks ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.