Кратко о многоуровневой системе безопасности (MLS)

Спасибо, хорошая статья.

а по шкале TCSEC ( которая оранжевая книга ) можно указать соотеветсвие ?

>Что здесь понимается под MLS?

дожились... теперь даже постеры новостей по сцылкам не ходют

А о чем ваще новость?

Не читал, но осуждаю.

думаю, концепция многоуровневой безопасности в ОС линукс реализуется средствами selinux.

> а по шкале TCSEC ( которая оранжевая книга ) можно указать соотеветсвие ?

<<Оранжевая книга>> применима только к автономным системам и полностью игнорирует возможное подключение системы (компьютера) к сети, т.е. сетевая карта должна отсутствовать как класс. Более того, дисковод --- заклеен эпоксидной смолой, USB отключена совсем и т.д.

Поэтому ответ: нельзя.

А чем это кардинально отличается от семилетней давности RSBAC? (Ну кроме сертификации, понятно).

ха-ха, сходил по ссылке.

Автор новости не читал собственную ссылку что ли?

там же описано, что такое MLS. И даже про белл-лападула упомянуто.

автору статьи - спасибо. Статья хорошая, ждём продолжения.

От автора статьи: "Пожалуйста". От автора новости: "Постараюсь не использовать риторических вопросов" :) А вообще, бывает еще прикольнее, когда, например, отправляешь одновременно ссылку на opennet и LOR. Если Максим у себя подтверждает раньше, то на Lor-е модераторы иногда удаляют тему с комментарием "Сворованно с opennet". ;)

> "Сворованно с opennet". ;)

мда, действительно забавно :)

то что автор статьи и новости - одно лицо, честно говоря, немного удивило :)

с в-вами надо таки завязывать.. ну, или делиться :)

> с в-вами надо таки завязывать.. ну, или делиться :)

я в смысле - некоторые разговаривают сами с собой, а потом говорят, что, дескать, "вопрос риторический" ;)

Вот только не изобретена еще MLS для мозгов политиков и военных:
http://www.vz.ru/society/2007/10/31/121426.html
До конца читайте, там про наши горячо любимые офисные пакеты :)

> я в смысле - некоторые разговаривают сами с собой, а потом говорят, что, дескать, "вопрос риторический" ;)

Ну не знаю, у меня когда я подтверждал новость, никакого сомнения в риторичности вопроса не было и что по ссылке как раз рассказывается о MLS. Вполне нормальный литературный приём в тексте. Это же новость, а не вопрос на форуме.

да я согласен. Шучу я так. Конечно, можно и нужно было понять что вопрос риторический.

"Также после перезагрузки вы уже не сможете работать с X Windows" Может быть все-таки "X Window System"?

IBM_dw, учитесь, ламеры, как надо статьи писать ;-)

автор процитировал 1-й абзац и 1-е предложение 2-го абзаца по ссылке. Оттуда и вопросительное предложение. Но некоторые тормоза, даже сходив по ссылке, этого не заметили.

MLS, это когда по периметру шаркает дворник со свистком, на входе вахтер с берданкой, на рецепшене - чоп окопался, а в кассе автоматический биореактор.

Хиллхаус обнаружила, что в скрытом виде здесь сохранились исходные данные, на основе которых выстроены диаграммы. Если дважды кликнуть мышкой на заинтересовавшем графике с динамикой закупок по годам, то появляется таблица с конкретными цифрами в миллиардах долларов.

ААА! мой моск O_o

Это не первый случай, навскидку могу вспомнить вот: http://www.eweek.com/article2/0,1895,2192161,00.asp - DHS заДДоСил сам себя :-). ФСБ немногим лучше, ради интереса можно зайти на сайт типа dnsstuff.com и проверить на ошибки их домен.

А почему X Window не работает в купе с SELinux MLS? Вроде с RSBAC работало. Или мне это показалось?

> А почему X Window не работает в купе с SELinux MLS? Вроде с RSBAC работало. Или мне это показалось?

Все можно заставить работать. Главное - правильную политику написать, написано же в статье.

> <<Оранжевая книга>> применима только к автономным системам и полностью игнорирует возможное подключение системы (компьютера) к сети, т.е. сетевая карта должна отсутствовать как класс. Более того, дисковод --- заклеен эпоксидной смолой, USB отключена совсем и т.д.

Чего-то я не помню, чтобы в TCSEC такая конкретика присутствовала.. Вы откуда такую информацию взяли?

Вот, кстати, ссылка по сертификации Windows NT в рамках TCSEC на уровень C2:

http://www.microsoft.com/technet/archive/security/news/c2faq.mspx?mfr=true

Но соответствие, разумеется, указать нельзя. ISO 15408 (он же Common Criteria) - гораздо более комплексный стандарт. Оранжевая книга устарела.

Кстати, сейчас же нашел информацию (и вспомнил :) о том, что Windows 2000 (в свое время) также прошла сертификацию на уровне EAL4+.

> Все можно заставить работать. Главное - правильную политику написать, написано же в статье.

В статье как раз написано, что X Window не работает с MLS. Насколько я понимаю, из окна с более высоким уровнем доступа можно будет скопировать данные в окно с более низким. А вот в RSBAC вроде эта ситуация корректно разруливается. Если я конечно не ошибаюсь насчет RSBAC-а.

"Также после перезагрузки вы уже не сможете работать с X Window (как не запустится и ряд других служб). Хотя бы из-за того, что будет существовать возможность скопировать информацию из окна терминала с высоким уровнем допуска в терминал с низким."

То, что X Window не заработает в конфигурации по умолчанию, не означает, что эту конфигурацию нельзя изменить так, чтобы все заработало. Нужно просто обеспечить выполнение правил "no read up, no write down".

А RSBAC просто означает, что на каждую такую ситуацию можно написать свое правило.

Может быть, автор статьи прояснит этот момент?

>> <<Оранжевая книга>> применима только к автономным системам и полностью игнорирует возможное подключение системы (компьютера) к сети, т.е. сетевая карта должна отсутствовать как класс. Более того, дисковод --- заклеен эпоксидной смолой, USB отключена совсем и т.д.

> Чего-то я не помню, чтобы в TCSEC такая конкретика присутствовала.. Вы откуда такую информацию взяли?

Bruce Schneier. Secrets and Lies. Digital security in a networked world. ISBN 0-471-25311-1 (англ.), ISBN 5-318-00193-9

> Вот, кстати, ссылка по сертификации Windows NT в рамках TCSEC на уровень C2: http://www.microsoft.com/technet/archive/security/news/c2faq.mspx?mfr=true

Про Windows NT и TCSEC: MS спекулировала на эту тему, но эти натяжки необоснованны, так же как и "сертификация" Solaris на C2. Причины см. выше.