The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Философия SELinux"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Философия SELinux"  
Сообщение от opennews (??) on 26-Дек-05, 00:07 
В PDF документе "Demystifying Security Enhanced Linux (http://www.ebcvg.com/pdf/dl/demystifying_selinux.pdf)" рассказывается о путях применения и внутренней сути подсистемы SELinux,  не совсем прозрачной для начального понимания.

В статье также приводятся примеры создания несложных SELinux политик.


Дополнительно, можно отметить публикацию письма "SELinux kills multiboot (http://lwn.net/Articles/165530/)" со ссылкой на дискуссию (http://www.redhat.com/archives/fedora-test-list/2005-December/msg00671.html) в списке рассылки fedora-test-list, в которой поднимаются проблемы (https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=152827) использования SELinux в системах на которых установлено несколько ОС и используются одинакоые точки монтирования (например, один /home для всех).


URL: http://www.ebcvg.com/articles.php?id=1013
Новость: http://www.opennet.dev/opennews/art.shtml?num=6700

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Философия SELinux"  
Сообщение от THESERG email(??) on 26-Дек-05, 00:07 
глючит всё это наверно...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

2. "Философия SELinux"  
Сообщение от sash email(??) on 26-Дек-05, 01:36 
неа. давеча был на семинаре редхета. она по умолчанию включена в RHEL 4.

очень и очень. штука нетривиальная и с ней можно сделать все что угодно.

Кста после этого скучного семинара, самым полезным на котором нашел материалы редхета, презенташки и т.д. многое почерпнул из материалов, начал уважительно относится к редхету. Даже подумываю о подписке на Standart и использованию RHEL4

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

4. "Философия SELinux"  
Сообщение от andrewk on 26-Дек-05, 11:12 
жертва рекламы :) любую систему стоит использовать лишь потому, что она в состоянии тебе дать какие-либо преимущества, а не потому, что про нее красиво рассказали на семинаре.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

6. "Философия SELinux"  
Сообщение от sash (??) on 26-Дек-05, 12:08 
Реклама это последнее на что обращаю внимание.

Преимущества в поддержке, и цене на нее.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

9. "Одно из сильнейших"  
Сообщение от Otto Katz Feldkurat on 26-Дек-05, 12:21 
переживаний детства - утрата прав на директорию в системе с ACL.

ACL, SELinux и TrustedBSD - потенциально источник больших проблем с правами на то и на сё. Отладить просто нормальную работу такой системы может оказаться сесьма ресурсной задачей. Готов ли ты к тому, что МТА недели две будет тебе отвечать в различных вариантах: "я отдыхаю и ты отдыхаешь у тебя правов нема"? Потом станешь прикручивать клиентов. По одному. И...

А ради чего? У тебя в системе каждый день объявляются бэкдоры, активнсоть пользователей которых надо ограничить?

Си - отличный копилятор. И что? Исходя из этого факта ты готов написать лично для себя ОС? Отладка прав может превратиться в написание собственного ядра в человеко-часах.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

10. "Одно из сильнейших"  
Сообщение от sash (??) on 26-Дек-05, 12:39 
Согласен с каждым словом.

Я не сторонник ни противник SELinux.

Как и везде должна быть корреляция между приемлемым решением задачи (в данном случае безопасности) и затрат на нее.

Заметьте в списках политик SELinux нет sendmail. :))

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

13. "На мой взгляд, начинать надо"  
Сообщение от Otto Katz Feldkurat on 26-Дек-05, 13:36 
с шифрования трафика.

Что толку наводить тень на плетень внутри DMZ, если твой внешний траф может быть обснифан из локалки провайдера, из локалки коллокатора, на пиринге, а внутренний - любым алкашом из соседней комнаты?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

14. "На мой взгляд, все не просто"  
Сообщение от sash (??) on 26-Дек-05, 13:45 
с тем что данные являются общедоступными не только в сети.

Хочешь безопасности - это дорого стоит. Толлу с шифрования траффика если вспомнить о тех.средствах позволяющие снимать изображение с ЕЛТ, получать данные с кабеля при печати на принтер, и т.д. Эти средства были на вооружении у СБ еще в 70-х. А что на вооружении у них сейчас?

Гугл может позволить себе выложить отснятую поверхность земли, в неплохом качестве. :) Что же тогда могут те у кого есть средства разработанные на деньги вкладываемые в ВВП?

Безопасность палка о десяти концах, и шифрованием трафика не обойтись.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

17. "Понял тебя."  
Сообщение от Otto Katz Feldkurat on 26-Дек-05, 14:42 
Ты не в курсе "проститутской" сетевухи и сниффа. И сопутствующих средств.

В домовых сетях в Москве все снифают всех. Угоны красивых е-мейл типа "банк@мейл.ру" - норма жизни. Возвращается доступ к такому ящику только через пляску с топорами.

Жди статьи у во у в журнеле "Ккуль Хацкер", он же просто: "Хацкер", он же "Ксакеп.ру".

Зря я ее так долго откладывал.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

18. "Понял тебя."  
Сообщение от sash (??) on 26-Дек-05, 14:47 
В курсе. Все средства упоминать попросту нет смысла.

Обязательно прочту. в последнее время журнал публикует толковые статьи.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

5. "Философия SELinux"  
Сообщение от Mikk on 26-Дек-05, 12:05 
>с ней можно сделать все что угодно.
С ней оракла сделать нельзя. Не будет работать.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

7. "Философия SELinux"  
Сообщение от sash (??) on 26-Дек-05, 12:10 
>>с ней можно сделать все что угодно.
>С ней оракла сделать нельзя. Не будет работать.

SELinux не будет работать с oracle? имеешь ввиду oracle database 9i/10g ?

странно, rhel4 с включенным selinux работает БД.


Но не это имел ввиду. :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

8. "Философия SELinux"  
Сообщение от Mike (??) on 26-Дек-05, 12:17 

CentOS 4 юзайте. Те же яйца, тока бесплатно.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

11. "Философия SELinux"  
Сообщение от sash (??) on 26-Дек-05, 13:09 
Поймите критерий бесплатности не играет такую большую роль как ему придают ?начинающие?.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

12. "Философия SELinux"  
Сообщение от Mike (??) on 26-Дек-05, 13:24 
Не думаю. Вот напр. мне зачем rhel4, когда есть совместимый с ним на 100% centos 4, ну мб лишенный нек. коммерческих шалабушек, кот мне вcе равно не нужны.
Нет, конечно мне нужен rhel4, но просто чтоб был (иначе с чем будет Centos совместим?), но платить за него я не буду и никому не советую.
А начинающим - тем более, зачем платить деньги, да и за что?
Так что, я думаю тут решающий фактор - отсутствие информации, ну или нежелание искать альтернативы раскрученному бренду.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

15. "Философия SELinux"  
Сообщение от andrewk on 26-Дек-05, 13:53 
Mike, здесь не такой простой вопрос, как ты думаешь. если начать обсуждать, почему иногда предпочтительнее купить решение от коммерческого вендора, а иногда можно обойтись и аналогичным бесплатным решением, все это выльется в огромной флейм, толку от которого будет 0. просто поверь, что есть такие обстоятельства, благодаря которым люди предпочитают юзать именно rhel4, а не centos, даже зная о существовании последней.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

16. "Философия SELinux"  
Сообщение от sash (??) on 26-Дек-05, 13:54 
Практически не использую RH, от федоры просто воротит - собрать столько ПО  в одном месте да еще и запутать все это надо уметь.

перед centos RHEL выигрывает имено поддержкой. мне так кажется, если ошибаюсь - поправте.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

3. "Философия SELinux"  
Сообщение от dsl on 26-Дек-05, 08:25 
http://rhd.ru/docs/articles/selinux_rhel4/
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

19. "Философия SELinux"  
Сообщение от PavelVice email(ok) on 26-Дек-05, 16:10 
SeLinux сложен, но поддерживается без всяхих патчей.
Есть еще lids и gradm. Они мне больще нравятся. Есть  еще vserver(опять же в виде патчей толька). Хотелось бы иметь возможность выбора между этими решениями без лишнего гимора с патчами. Я конечно понимаю что трудно сделать что бы код этих проектов мог сосущестовать в ядре, но все же.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

20. "Философия SELinux"  
Сообщение от rt (??) on 27-Дек-05, 02:35 
а что, так сложно патч наложить?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

21. "Философия SELinux"  
Сообщение от Сердюка on 27-Дек-05, 10:57 
да и зачем патчи? есть уже наложенные и постоянно обновляемые, напр Gentoo
emerge vserver-sources
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

22. "Философия SELinux"  
Сообщение от don on 27-Дек-05, 12:48 
Юзаю CentOS + SELinux - все отлично - всем доволен, как и все остальное - нужно сначала изучить...
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

23. "Философия SELinux"  
Сообщение от Guest (??) on 27-Дек-05, 13:23 
А может grsecurity или RSBAC лучше?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

25. "Философия SELinux"  
Сообщение от Аноним on 11-Янв-06, 09:02 
>>А может grsecurity или RSBAC лучше?
и там и там мандантный доступ -только все возможности RSBAC получаются как частный случай SELinux ,то есть это гораздо более мощная технология -да и лучшая железобетонность этого проекта -в сети есть две машины с SELinux (в проектах дженту и дебиана или редхата) которые стоят себя мирно с открытым доступом по ssh roota  с известным паролем куда каждый может зайти попытать удачи по взлому ,а демострации других систем защиты пока нету почему то -это тоже показатель!
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру