LINUX.ORG.RU

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

RHEL5 has not yet completed any CC evaluations.

anonymous ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Не читая статьи сделаю предположение - раз запостил саныч значит в статье говорится что солярка более секурная чем рхел. Я прав?

Godzillich ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

а вот почитай, хотяб для интересу.

вот Conclusions:


While an SELinux policy can express the labeled information flows of a system, it often requires a very large and detailed policy. With Trusted Extensions, simply defining the labels and assigning user clearances is usually sufficient.

The isolation and polyinstantiation features of Trusted Extensions provide both MLS and Multiple Independent Levels of Security (MILS), as described by the newer MILS protection profile. Therefore, Trusted Extensions might be able to achieve higher levels of assurance in the future. The isolation provided by labeled zones is more compatible with commercial, off-the-shelf software because it is more transparent to applications, and it is substantially easier to manage because it is a natural extension of the Solaris management model.

Choose Trusted Extensions if you need to support users working at multiple levels and not just multilevel web services, because Trusted Extensions provides two multilevel desktop environments. RHEL5 LSPP does not provide a multilevel desktop environment.

While RHEL5 LSPP appears to have a more integrated IPsec solution, Trusted Extensions has more multilevel functionality. For instance, Trusted Extensions enables a single host to act as a multilevel NFS server. RHEL5 LSPP does not support NFS file sharing. Thus, Trusted Extensions enables a security administrator to implement labeled security throughout the data center, in file sharing, in web hosting, in application firewalls, and for other uses.

RHEL5 LSPP and Trusted Extensions have taken different design approaches to meet the same CC profiles. However, while these systems might meet the same criteria, it is important to consider the functionality that is included in the systems submitted for LSPP evaluation. Trusted Extensions includes several features, such as multilevel NFS and a multilevel windowing system, that are designed to meet the security data flow requirements specified by LSPP and to be usable in real-world environments and by real-world customers. Comparable features are either not available or have been excluded from the RHEL5 LSPP evaluation target.

chocholl ★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Конечно солярка круче.

anonymous ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Вы можете подтвердить обратное?

Чётко выстроенная модель безопасности всегда надёжнее устаревшего ядра с набором хаков.

ssedov ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

>Я прав?

Для этого да же на ник глядеть не надо :) Но я думаю что новость больше подошла бы для solaris.org.ru :) Если RHEL пройдёт ту же сертификацию сто и Solaris, вся писанина Sun коту под хвост. Решают одну проблемму разными способами.

robot12 ★★★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> устаревшего ядра с набором хаков.

И к какому ядру эта фраза относится?

"the Trusted Extensions MLS policy for file systems and for networking is hard-coded in the Solaris kernel"

tailgunner ★★★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Ага, сантехники прям на главной страничке напишут, что RHEL круче, а наш солярис гавнище. Зачем этот спам пропустили ?

Drolyk ★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Раз сантехники заговорили о безопасности, то значит, что скоро выйдут новые баги для Enterprise(R) Trusted(TM) Solaris(C).

MaratIK ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Читать сравнения с солярой на сайте санок?

Stalwart ★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Саныч жжот:

"что лучше: Solaris или Linux?"

и ссылка на www.sun.com/... :))

theserg ★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

>Саныч жжот

Саныч бойянит ... я ещё вчера прочетал.

P.S.: Как там дела у Solaris с дровами для Intersil Prism 2.5 ??? Уже написали ?

robot12 ★★★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

>Не читая статьи сделаю предположение - раз запостил саныч значит в статье говорится что солярка более секурная чем рхел. Я прав?

нэт. в линаксе использован более гибкий (позволяет делать более "fine grained" политики) подход, однако оверхед всего этого добра в линаксе значительно выше нежли чем в соляре. плюс ковсему настройка и потдержка всего этого добра в соляре значительно проще. короче - ничья.

aydef ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> а кто здесь кто?

Чётко выстроенная модель безопасности - selinux, устаревшее ядро с набором хаков - солярис (не знаю правда, что именно там устаревшее, понятно что кучи современных системных вызовов, которые умеет linux 2.6 там нет, но все же).

Из следующей цитаты становится понятно, почему в солярисе секьюрити, прикрученное снаружи через хаки. RHEL же - система cо сложной и четкой моделью selinux, индивидуально подстроенной под сервисы. Вернее, с несколькими возможными моделями.

Similarly, the Solaris security policy is abstracted by means of a private set of policy hooks. The policy hook functions use secpolicy_*() as a common prefix. These private interfaces are exposed through the OpenSolaris open source code project [5]. At the present time, the Solaris OS uses these functions only to implement process privilege checks, although the architecture is extensible.

Но это все, конечно, мелочи жизни, а вот это реально грустно:

The Solaris 10 OS does not support policy configurations, per se. However, the Solaris 10 11/06 OS does provide a limited network services profile called Secure by Default Networking that is roughly equivalent to the RHEL5 Targeted policy. Solaris 10 11/06 with Trusted Extensions enabled is comparable to RHEL5 LSPP. The Solaris 10 OS does not provide an equivalent to the Strict policy.

Именно "strict"-политика и есть самое вкусное в selinux. Как во всяческих играх вроде предложенных во время запуска selinux "вот машина и логин с правами рута, запускайте что хотите, попробуйте сделать что-нибудь нехорошее", так и в реальных ситуациях, когда нужно иметь гарантию, что запрещенные вещи останутся по-настоящему запрещенными независимо от степени взлома системы, а не просто понавешать ограничений на несколько демонов.

anonymous ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

А чего, под Соляркой уже Beryl поверх Гнума запускается, или всё то же убогое CDE торчит с энтерпрайз-багами в телнете?

Gharik ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> А чего, под Соляркой уже Beryl поверх Гнума запускается

Компиз в девелопер эдишине уже стартует, но с DRI на x86 пока что косяки.

CDE торчит, телнет пофиксили.

Гном лучше не запускать, если конечно не счстливый обзадатель чего-нить с 3-мя ггц и гектаром оперативки... Несмотря на появление гнома все фрэймворки типа WBEM SMC и мелких тулзов остались жабские. Так по опыту пробы на 2.4 P4-ht с 512-ю Мб после запуска тулзы для обновления - страх божий (в смысле всеоооооооо таааааак мееееееедлеееееноооооо). Периодически "чихает" гном после чего только сносить все ~/.g* и настраивать обратно. ХFCE ничего так бегает... но дров катастрофически не хватает.

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Это на спарках всё такое перспективное, или только на порте под x86, а в родном окружении всё пиццато? Нужно в кладовку слазать... где-то так есть сановское железо... \m/

Gharik ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> короче - ничья.

Саныч, а зачем ты сменил ник на aydef? Твои типичные ошибки в русском языке тебя выдают всё равно :)

dmesg ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> Периодически "чихает" гном после чего только сносить все ~/.g* и настраивать обратно. ХFCE ничего так бегает... но дров катастрофически не хватает.

ну gnome-cleanup не отменяли :) А JDS/Gnome действительно - г ...

ilyxa ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> Это на спарках всё такое перспективное, или только на порте под x86, а в родном окружении всё пиццато?

И там и там... А вообще имхо лучше линух в качестве DE а на сервер строго консолькой... Бо собрать привычное окружение - тот еще хардкор, и после этого обнаружить что про tv-тюнер можно забыть, про блютус тоже (особенно глядя как весело развивается проектик), как то не сильно весело.

> кладовку слазать... где-то так есть сановское железо... \m/

Курчаво живем... %)

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Смешно читать про политики безопасности после таких пролётов, как ping of death и дыры в telnet, под которую аж червяки начали писать.

anonymous ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> как ping of death и дыры в telnet, под которую аж червяки начали писать. Ты про линукс почитай... он тоже в некоторые периоды времени бывал дуршлагом...

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Sun-ch просто так новость не добавит :)

vadiml ★★★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Не совсем. Я давеча поднял зону, и чуть не умер - у зон с хост-машиной (которая, в сущности тоже зона) единая пакетная система, и если я удаляю пакет в одной из зон, в других он тоже исчезает.

ugenk ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

>Я давеча поднял зону, и чуть не умер - у зон с хост-машиной >(которая, в сущности тоже зона) единая пакетная система, и если я >удаляю пакет в одной из зон, в других он тоже исчезает.

эта... когда зону создаёшь, можно указать что вся эта красота шарится
между глобальной и создаваемой зоной.
Можно просто не шарить, а указать тупо скопировать либы итп.
Тогда зоны будут независимы.

anonymous ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Да что ты гонишь, если ты pkgrm делаешь будучи в зоне, то пакет удаляется только из этой зоны, а вот если делаешь это в глобальной зоне (без -G), то он удалится и из глобальной зоны, и из всех сконфигуренных зон. Если делаешь с -G - то только из глобальной зоны.

Вечно лоси не разберутся как следует, а уже разорались.

anonymous ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Короче линуксоиды все в облаках летают со своим линуксом и ошибки признать очевидные не могут....

anonymous ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> А эти контейнеры с зонами в соляре не то же реализуют что и xen/openvz/vserver в линуксе?

Далеко не тоже, Container - аналог jail, Zone - виртуализация, наиболее близкая по функционалу технология к zone это xen. Но как там с динамическим управлением ресурсами ? Да и ставить его в продакшн как то кхм кхм... здоровье дороже.

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> Я давеча поднял зону, и чуть не умер - у зон с хост-машиной (которая, в сущности тоже зона) единая пакетная система,

Я не знаю что там у тебя поднялось но у нормально настроенная зона полностью виртуальный хост.

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

>если я удаляю пакет в одной из зон, в других он тоже исчезает.

Неправда. Я пользователь Linux со стажем, но Solaris 10 (11/06) который прислан Sun'ом мне понравился. По сравнению с 8 и 9ткой прогресс на лицо.

robot12 ★★★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

>А эти контейнеры с зонами в соляре не то же реализуют что и xen/openvz/vserver в линуксе?

Sun утверждает, что openvz (virtuozzo) украли идею у них, практика показывает обратное.

rtc ★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> Дык ясен хрен, что ntp в локальной зоне никто не даст возможностей для измения системных часов.

какие такие системные часы? разве сложно было реализовать свои часы в каждой зоне? не могли сразу все с openvz передрать?

MaratIK ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> попробуй там драйвера лишние выкинь

Мну не разу не понял зачем ставить лишние дрова ?

> или ntp сервак запусти, обломаешься...

Хммм и что же мешает запустить ntp cервер ?

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> разве сложно было реализовать свои часы в каждой зоне?

Для начала не путай апаратную эмуляцию с виртуализацией... и попробуй порассуждать зачем рекомендуется выставлять системные часы по гмт ?

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> Какая разница в данном случае?

Большая. Виртуализация - не более чем окружение для реализации прикладных задач. Эмуляция - это полная отвязка от хост системы. Второе конечно более красиво, но создавать для каждой задачи отдельный логический лэер - оверхед, да и с динамическим разделением ресурсов сложнее будет.

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Совсем "чистых" систем виртуализации просто не существует. В чеи сложность предоставить каждому контейнеру/зоне по таймеру? Если это не сложно, почему не сделано? (принимается ответы "ХЗ" и "руки не дошли пока" :))

tailgunner ★★★★★ ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

> (принимается ответы "ХЗ" и "руки не дошли пока" :))

Нет необходимости. Почему ? потому что

$ date
Втр Мар 27 14:00:41 UZT 2007
$ TZ=UTC date
Втр Мар 27 09:00:44 UTC 2007

Смог объяснить ?

iBliss ()

Re: Сравнение систем безопасности Solaris Trusted Extensions и Red Hat Enterprise Linux

Дык системные часы могут сихронизироваться очень замысловато, например через радиоканал.

A radio atomic clock system is available in North America set up and operated by NPL - the National Institute of Standards and Technology, located in Fort Collins, Rugby. NPL operates radio station MSF, which is the station that transmits the radio atomic clock time codes. MSF has high transmitter power (50,000 watts), a very efficient antenna and an extremely low frequency (60,000 Hz).

Прелагаешь каждой зоне выделять собственный приемник с аппаратным таймером?

Sun-ch ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.