я ему тоже 10$ скинул :)
мелочь конечно, но всеже лучше чем ничего

аллилуйя

супер! спасибо спонсорам, Брэд тоже молоток! пожелаем ему творческих успехов!

Типа бизнес план

1. раздаём OSS 2. ждём, пока внедрят и станут от него зависеть 3. угрожаем закрыть проект 4. Profit!!!

Ура, товарищи! Коммерческая модель для опен-сорса найдена!

Ооо как братья онанимусы взволновались ))) завидуют наверное ))

предыдущему онанимусу: проект никто закрывать не собирался!!! сорцы были бы доступны всем желающим, так что не 3.14ди!

>Коммерческая модель для опен-сорса найдена!

а "IMHO" где?

>Ура, товарищи! Коммерческая модель для опен-сорса найдена!

Брэд и не собирался закрывать проект, просто он хотел посвятить своему проекту все свое время, все лето, но так как никакого финансирования не намечалось, он собирался найти работу, и был неуверен, что у него будет оставаться время на grsec. А так как уже сейчас нашлись спонсоры, готовые проплатить хостинг, а может даже и работу Брэда, Брэд посвятить себя проекту, а там у него запланированы классные вещи. Этому можно только радоваться...

Классная новость, и классный проект.

Теперь, для полного счастья, мне не хватает узнать, чем занимается Poul-Henning Kamp, а то я его в TODO-листе не вижу, извините за оффтоп.

>Теперь, для полного счастья, мне не хватает узнать, чем занимается Poul-Henning Kamp, а то я его в TODO-листе не вижу, извините за оффтоп.

http://people.freebsd.org/~phk/ ?

А причем тут он? :)

> сорцы были бы доступны всем желающим, так что не 3.14ди!

желающие обычно желают скачать нахаляву, не более того. не надо баек про стада программистов, готовых подхватить проект и вести его дальше, в светлое голодное будущее ;)

> А причем тут он? :)

Ну как бы он тоже спонсоров искал, только вот TODO на него ничего не навешано, а ведь он практически добровольно обещал закабалиться.

> не надо баек про стада программистов, готовых подхватить проект и вести его дальше, в светлое голодное будущее ;)

если проект того стоит, то найдутся и спонсоры и стада програмистов готовых подхватить его и примеров этому предостаточно ))

слава яйцам что насобирал.

> я ему тоже 10$ скинул

Ага, так вот кто тот пресловутый спонсор...

Не сдохло... А жаль... Находятся же идиоты, которые будут платить за ЭТО...

>Не сдохло... А жаль...

почему?

ты ж хвалил его в начале года еще. усиленно так

> почему?

Есть SELinux и RSBAC, которые пытаются бороться с тем, что UNIX was not designed with security in mind. А grsec пытается наделать костылей, и, IMHO, "удачно" сочетает недостатки RSBAC и SELinux.

> ты ж хвалил его в начале года еще. усиленно так

Не его. RSBAC.

А вы его хоть юзали?

Извините, но от мнений "stupid idiot"-ов я воздерживаюсь ;)

А можно по поводу сочетания недостатков по подробней?Просто интересно стало.Вроде ты в прошлые разы говорил, что селинукс херовее задумка чем грсек?И вроде у грсека и рсбака на сайтах висела заметка, почему селинукс херовее чем их поделка.

Костыли костылями но у него есть одно преимущество.

Он простой.

Бред.

http://rsbac.org/lsm.htm
http://grsecurity.org/lsm.php

mozilla hot keys

Извините пионера за вопрос. А применял ли кто-нибудь сии поделия (хоть одно из трёх упомянутых) на практике? Это вполне серьёзные вещи, которые работают или пока "чисто теоретические" разработки?

про недостатки

> А можно по поводу сочетания недостатков по подробней?

Основные недостатки SELinux:

1) нельзя (или очень сложно) сделать так, чтоб домен (роль) A мог policy _только_ для доменов B,C,D,...

2) LSM -- suxx

про это хорошо написано, напр., здесь http://www.rsbac.org/lsm.htm

3) просто куча мелких, неприятных багов...

Достоинтсва SELinux:

Четко сформулированная, _простая_ модель безопасности -- DTE.

Основные недостатки RSBAC:

1) использование UID в качестве security ID

2) (недостаток основной модели -- RC) нет role/type transition tables

Достоинства RSBAC:

1) Разделение политики и механизма ( AEF vs ADF ), как следствие -- модульность.

2) Разделение административных прав ( см. Admin Roles, Assign Roles, etc)

grsec:

1) Убогая (вообще никакой) формальной модели безопасности

2) Про модульность тоже можно забыть

3) Тот, кто может менять /etc/gracl (или где они там), может все, тот, кто не может -- не может ничего.

> Он простой.

Черта с два. Без бутылки хрен там разберешься.

все зависит от кривизны рук

> Это вполне серьёзные вещи, которые работают или пока "чисто теоретические" разработки?

Вполне рабочие вещи, но (как всегда) кое-где приходится брать в руки напильник...

А много ли времени это занимает, втроить RSBAC в свой дистрибутив? Есть дистриб alt-linux castle. Судя по факту его существования это серьезная работа. Или вовсе не обязательно "встраивать" RSBAC в дистриб тотально? Можно ли сделать только то, что надо? Например, разграничить доступ к файлам в каком-нибудь каталоге.

>> Он простой.

>Черта с два. Без бутылки хрен там разберешься.

Ну, это проблемы конкретного индивида.

А по мне, grsec - грамотная, действительно простая и эффективная система "закручивания гаек" (причем, выборочного закручивания). Работаю с ним давно (на продакшн серверах), доволен и очень рад, что проект не умрет.

Dselect, перечислите пожалуйста достоинства grsec.

не изобретайте велосипед...

> А много ли времени это занимает, втроить RSBAC в свой дистрибутив?

Много. Надо писать policy для всех программ... Проще взять что-то готовое -- напр., Adamantix.

>> Он простой.

> Черта с два. Без бутылки хрен там разберешься.

Правильно. Там только бутылку надо :)

А тот-же мандатный доступ надо на бумаге построить и доказать. После этого небольшой RTFM по конкретной реализации и можно внедрять.

Нужно еще тестирование и отбор программ делать. Для некоторых уродцев такое policy получится что их проще выкинуть чем костыли подставлять.

а вы пытались использовать RSBAC jail. Можно ли его использовать отдельно?

> А тот-же мандатный доступ надо на бумаге построить и доказать.

IMHO, алгоритм гораздо проще, чем возня с *NIX'-овыми [res][ug]id.

> а вы пытались использовать RSBAC jail.

Нет, IMHO, всякие chroot'-ы и jail'-ы -- это [sensored].

> Для некоторых уродцев такое policy получится что их проще выкинуть чем костыли подставлять.

Ага, например, XFree86 :)

Это чем-то лучше Фрёвой связки ACL + Security Levels + Jail ? что-та мну не верится)

MAC: FreeBSD vs Linux

> Это чем-то лучше Фрёвой связки ACL + Security Levels + Jail ?

А Вы попробуйте сделать с вашею фрею что-то навродя этого: http://www.linux.org.ru/gallery/bigimagMz.png

P.S.

RTFM:

http://www.rsbac.org/rc-nordsec2002/index.html

http://www.rsbac.org/models.htm

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html

можить и слабее... но во многих случаях достаточно...

можно поинтересоваться у пользующих rsbac и selinux: сколько серверов у вас в работе под этими параноидальными надстройками, сколько времени вы с ними трахались и трахаетесь? сколько гиморроя что-то произвести какие-то действия в системе? я пробовал у себя поставить, но количество гиморроя отпугнуло - ну его нафиг. к тому же возможна такая смешная ситуация: тужишься, пыжисься, ночей не спишь, а приполз червяк или пионер через незамеченную дырочку и твои труды полетели в ...

у меня десятки серверов, стоит grsec: pax, jail (все аппы живут там в специально установленном линухе в джайле), рандомайзинг, логирование можно включить и всякое прочее - почти всё включено. кроме acl. хватает. чем пальцы загибать, мол какая у меня крутая система, я лучше буду с минимумом проблем обслуживать больше систем. не стоит городить дорогую защиту, там где она не нужна. будет больше заказчиков - можно замахнуться и на сотни. если руководство согласится...