LINUX.ORG.RU

GRSecurity живее всех живых!


0

0

Благодаря финансовой поддержке и некоторым спонсорам разработка проекта grsecurity продолжится. Брэд теперь полностью может посвятить себя работе над своим проектом, не утруждая себя поисками работы.

Узнать какие изменения запланированы для grsecurity в ближайщем будущем, вы сможете, обратившись к исследовательской работе Брэда "Increasing Performance and Granularity in Role-Based Access Control Systems"[1]. Также на сайте, в разделе документаций, вы сможете найти документацию по быстрому введению в grsecurity - "Grsecurity Quick-Start Guide"[2].

[1]. http://www.grsecurity.org/researchpap...
[2]. http://www.grsecurity.org/quickstart.pdf

>>> Подробности

★★★★★

Проверено: svyatogor ()

Re: GRSecurity живее всех живых!

я ему тоже 10$ скинул :)
мелочь конечно, но всеже лучше чем ничего

Cosmicman ★★ ()

Re: GRSecurity живее всех живых!

аллилуйя

anonymous ()

Re: GRSecurity живее всех живых!

супер! спасибо спонсорам, Брэд тоже молоток! пожелаем ему творческих успехов!

anonymous ()

Re: GRSecurity живее всех живых!

Типа бизнес план

1. раздаём OSS 2. ждём, пока внедрят и станут от него зависеть 3. угрожаем закрыть проект 4. Profit!!!

Ура, товарищи! Коммерческая модель для опен-сорса найдена!

anonymous ()

Re: GRSecurity живее всех живых!

Ооо как братья онанимусы взволновались ))) завидуют наверное ))

предыдущему онанимусу: проект никто закрывать не собирался!!! сорцы были бы доступны всем желающим, так что не 3.14ди!

anonymous ()
Ответ на: Re: GRSecurity живее всех живых! от anonymous

Re: Re: GRSecurity живее всех живых!

>Ура, товарищи! Коммерческая модель для опен-сорса найдена!

Брэд и не собирался закрывать проект, просто он хотел посвятить своему проекту все свое время, все лето, но так как никакого финансирования не намечалось, он собирался найти работу, и был неуверен, что у него будет оставаться время на grsec. А так как уже сейчас нашлись спонсоры, готовые проплатить хостинг, а может даже и работу Брэда, Брэд посвятить себя проекту, а там у него запланированы классные вещи. Этому можно только радоваться...

dotcoder ★★★★★ ()
Ответ на: Re: Re: GRSecurity живее всех живых! от dotcoder

Re: Re: Re: GRSecurity живее всех живых!

Классная новость, и классный проект.

Теперь, для полного счастья, мне не хватает узнать, чем занимается Poul-Henning Kamp, а то я его в TODO-листе не вижу, извините за оффтоп.

anonymous ()
Ответ на: Re: Re: Re: GRSecurity живее всех живых! от anonymous

Re: Re: Re: Re: GRSecurity живее всех живых!

>Теперь, для полного счастья, мне не хватает узнать, чем занимается Poul-Henning Kamp, а то я его в TODO-листе не вижу, извините за оффтоп.

http://people.freebsd.org/~phk/ ?

А причем тут он? :)

dotcoder ★★★★★ ()
Ответ на: Re: GRSecurity живее всех живых! от anonymous

Re: Re: GRSecurity живее всех живых!

> сорцы были бы доступны всем желающим, так что не 3.14ди!

желающие обычно желают скачать нахаляву, не более того. не надо баек про стада программистов, готовых подхватить проект и вести его дальше, в светлое голодное будущее ;)

anonymous ()
Ответ на: Re: Re: Re: Re: GRSecurity живее всех живых! от dotcoder

Re: Re: Re: Re: Re: GRSecurity живее всех живых!

> А причем тут он? :)

Ну как бы он тоже спонсоров искал, только вот TODO на него ничего не навешано, а ведь он практически добровольно обещал закабалиться.

anonymous ()
Ответ на: Re: Re: GRSecurity живее всех живых! от anonymous

Re: Re: Re: GRSecurity живее всех живых!

> не надо баек про стада программистов, готовых подхватить проект и вести его дальше, в светлое голодное будущее ;)

если проект того стоит, то найдутся и спонсоры и стада програмистов готовых подхватить его и примеров этому предостаточно ))

anonymous ()

Re: GRSecurity живее всех живых!

слава яйцам что насобирал.

FreeBSD ★★★ ()
Ответ на: Re: GRSecurity живее всех живых! от Cosmicman

Re: Re: GRSecurity живее всех живых!

> я ему тоже 10$ скинул

Ага, так вот кто тот пресловутый спонсор...

anonymous ()

Re: GRSecurity живее всех живых!

Не сдохло... А жаль... Находятся же идиоты, которые будут платить за ЭТО...

Dselect ★★★ ()
Ответ на: Re: Re: GRSecurity живее всех живых! от fagot

Re: Re: Re: GRSecurity живее всех живых!

> почему?

Есть SELinux и RSBAC, которые пытаются бороться с тем, что UNIX was not designed with security in mind. А grsec пытается наделать костылей, и, IMHO, "удачно" сочетает недостатки RSBAC и SELinux.

Dselect ★★★ ()
Ответ на: Re: Re: Re: GRSecurity живее всех живых! от Dselect

Re: Re: Re: Re: GRSecurity живее всех живых!

А можно по поводу сочетания недостатков по подробней?Просто интересно стало.Вроде ты в прошлые разы говорил, что селинукс херовее задумка чем грсек?И вроде у грсека и рсбака на сайтах висела заметка, почему селинукс херовее чем их поделка.

anonymous ()

mozilla hot keys

Извините пионера за вопрос. А применял ли кто-нибудь сии поделия (хоть одно из трёх упомянутых) на практике? Это вполне серьёзные вещи, которые работают или пока "чисто теоретические" разработки?

slo ()
Ответ на: Re: Re: Re: Re: GRSecurity живее всех живых! от anonymous

про недостатки

> А можно по поводу сочетания недостатков по подробней?

Основные недостатки SELinux:

1) нельзя (или очень сложно) сделать так, чтоб домен (роль) A мог policy _только_ для доменов B,C,D,...

2) LSM -- suxx

про это хорошо написано, напр., здесь http://www.rsbac.org/lsm.htm

3) просто куча мелких, неприятных багов...

Достоинтсва SELinux:

Четко сформулированная, _простая_ модель безопасности -- DTE.

Основные недостатки RSBAC:

1) использование UID в качестве security ID

2) (недостаток основной модели -- RC) нет role/type transition tables

Достоинства RSBAC:

1) Разделение политики и механизма ( AEF vs ADF ), как следствие -- модульность.

2) Разделение административных прав ( см. Admin Roles, Assign Roles, etc)

grsec:

1) Убогая (вообще никакой) формальной модели безопасности

2) Про модульность тоже можно забыть

3) Тот, кто может менять /etc/gracl (или где они там), может все, тот, кто не может -- не может ничего.

Dselect ★★★ ()
Ответ на: mozilla hot keys от slo

все зависит от кривизны рук

> Это вполне серьёзные вещи, которые работают или пока "чисто теоретические" разработки?

Вполне рабочие вещи, но (как всегда) кое-где приходится брать в руки напильник...

Dselect ★★★ ()

Re: GRSecurity живее всех живых!

А много ли времени это занимает, втроить RSBAC в свой дистрибутив? Есть дистриб alt-linux castle. Судя по факту его существования это серьезная работа. Или вовсе не обязательно "встраивать" RSBAC в дистриб тотально? Можно ли сделать только то, что надо? Например, разграничить доступ к файлам в каком-нибудь каталоге.

slo ()
Ответ на: Re: Re: Re: Re: Re: GRSecurity живее всех живых! от Dselect

Re: Re: Re: Re: Re: Re: GRSecurity живее всех живых!

>> Он простой.

>Черта с два. Без бутылки хрен там разберешься.

Ну, это проблемы конкретного индивида.

А по мне, grsec - грамотная, действительно простая и эффективная система "закручивания гаек" (причем, выборочного закручивания). Работаю с ним давно (на продакшн серверах), доволен и очень рад, что проект не умрет.

anonymous ()
Ответ на: про недостатки от Dselect

Re: про недостатки

Dselect, перечислите пожалуйста достоинства grsec.

anonymous ()
Ответ на: Re: GRSecurity живее всех живых! от slo

не изобретайте велосипед...

> А много ли времени это занимает, втроить RSBAC в свой дистрибутив?

Много. Надо писать policy для всех программ... Проще взять что-то готовое -- напр., Adamantix.

Dselect ★★★ ()
Ответ на: Re: Re: Re: Re: Re: GRSecurity живее всех живых! от Dselect

Re: Re: Re: Re: Re: Re: GRSecurity живее всех живых!

>> Он простой.

> Черта с два. Без бутылки хрен там разберешься.

Правильно. Там только бутылку надо :)

А тот-же мандатный доступ надо на бумаге построить и доказать. После этого небольшой RTFM по конкретной реализации и можно внедрять.

MrKooll ★★★ ()
Ответ на: не изобретайте велосипед... от Dselect

Re: не изобретайте велосипед...

Нужно еще тестирование и отбор программ делать. Для некоторых уродцев такое policy получится что их проще выкинуть чем костыли подставлять.

MrKooll ★★★ ()
Ответ на: Re: Re: Re: Re: Re: Re: GRSecurity живее всех живых! от MrKooll

Re: Re: Re: Re: Re: Re: Re: GRSecurity живее всех живых!

> А тот-же мандатный доступ надо на бумаге построить и доказать.

IMHO, алгоритм гораздо проще, чем возня с *NIX'-овыми [res][ug]id.

Dselect ★★★ ()
Ответ на: Re: не изобретайте велосипед... от MrKooll

Re: Re: не изобретайте велосипед...

> Для некоторых уродцев такое policy получится что их проще выкинуть чем костыли подставлять.

Ага, например, XFree86 :)

Dselect ★★★ ()
Ответ на: Re: Re: Re: Re: Re: GRSecurity живее всех живых! от anonymous

MAC: FreeBSD vs Linux

> Это чем-то лучше Фрёвой связки ACL + Security Levels + Jail ?

А Вы попробуйте сделать с вашею фрею что-то навродя этого: http://www.linux.org.ru/gallery/bigimagMz.png

P.S.

RTFM:

http://www.rsbac.org/rc-nordsec2002/index.html

http://www.rsbac.org/models.htm

Dselect ★★★ ()
Ответ на: MAC: FreeBSD vs Linux от Dselect

Re: MAC: FreeBSD vs Linux

можно поинтересоваться у пользующих rsbac и selinux: сколько серверов у вас в работе под этими параноидальными надстройками, сколько времени вы с ними трахались и трахаетесь? сколько гиморроя что-то произвести какие-то действия в системе? я пробовал у себя поставить, но количество гиморроя отпугнуло - ну его нафиг. к тому же возможна такая смешная ситуация: тужишься, пыжисься, ночей не спишь, а приполз червяк или пионер через незамеченную дырочку и твои труды полетели в ...

у меня десятки серверов, стоит grsec: pax, jail (все аппы живут там в специально установленном линухе в джайле), рандомайзинг, логирование можно включить и всякое прочее - почти всё включено. кроме acl. хватает. чем пальцы загибать, мол какая у меня крутая система, я лучше буду с минимумом проблем обслуживать больше систем. не стоит городить дорогую защиту, там где она не нужна. будет больше заказчиков - можно замахнуться и на сотни. если руководство согласится...

sg ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.