The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Практикум по использованию категорий безопасности ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Практикум по использованию категорий безопасности ..."  
Сообщение от opennews (??) on 23-Янв-06, 00:35 
В статье "Getting Started with Multi-Category Security (MCS) (http://james-morris.livejournal.com/8228.html)" приводятся практические примеры использования, появившейся в тестируемом в настоящее время Linux дистрибутиве Fedora Core 5, функциональности SELinux, дающей возможность оперировать категориями.  Т.е. можно значительно упростить работу с SELinux, определив несколько наборов правил (например, "Company_Confidential" или "Medical_Records") и дальше оперировать ими как атрибутами для управления доступом.

В предыдущей статье "А brief introduction to Multi-Category Security (MCS) (http://www.livejournal.com/users/james_morris/5583.html)" были изложены основные принципы MCS.

URL: http://james-morris.livejournal.com/8228.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=6840

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от pavlinux email(??) on 23-Янв-06, 00:35 
Вот и в Linux понапихали дерьма всякого, постепенно превращаемся в VAX/VMS, а теперь вспомним что есть VAX с VMS, и что есть Linux, за одно вспомним судьбу VAX/VMS. Linux, по идее, не может быть ОСью для Мэинфрэймов (пока), ну неверю я, что возможно одновременно работать 100000 человек, пускай хотя бы с консолью и VI или TeX. В Линухе спустя 10 лет, ACL стали более-менее использовать, а тут такие, 99.9%   людей ненужные вещи.  
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

2. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от pavlinux email(??) on 23-Янв-06, 00:43 
...В догонку, опять про VAX.
   Насколько я помню там прав доступа к файлам/объектам было что-то около 12 или 16. А теперь представили 2 в 16 степени (65536) вариантов доступа к файлу :) Клёво, да?! Особенно меня прикалывало, когда стояло READ, WRITE, NODELETE
то есть обнулить файл мог, а удалить нет :)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

3. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от pavlinux email(??) on 23-Янв-06, 00:49 
... и ещё про VAX, ладно, так уж и быть открою секрет, такие права как READ, WRITE, NODELETE ставились на файлы устройств и т.п.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

4. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от dct email(??) on 23-Янв-06, 05:27 
На самом деле не самая глупая комбинация, даже в переводе на обычные файлы.. Примеров может быть куча....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

5. "Вот именно."  
Сообщение от Мартышкин email(ok) on 23-Янв-06, 05:32 
Ты меня опередил на минуту.

Это спасает систему от миллиарда коллизий.

И что такое "100 000 пользователей"?

100 тысяч пачечек перфокарт переложенных огрызками гетинакса и перехваченных резинкой от трусов, что ли?

> 100000 человек, пускай хотя бы с консолью и VI или TeX
По 300-бодной сверхсекретной линии?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

6. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от Аноним on 23-Янв-06, 08:23 
пускай внедряют
понадобится - рано или поздно
существущая система прав 777 убога донельзя
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

7. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от Santa_Claus email(ok) on 23-Янв-06, 09:11 
Не хлопцы, SELinux это необходимость.

Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

8. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от pavlinuix email on 23-Янв-06, 10:57 
Да не нужна она в Линухе, А NT ядро у VAX спёрло, всмысле разрабатывали одни и те же люди.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

11. "Она в Линуксе нужна"  
Сообщение от Мартышкин email(ok) on 23-Янв-06, 12:22 
Гугл и форум ореннет переполнены призывами - спасите скорей ничего не делал, все развалилось! Потому что не хватает запрета менять владельца файлА, либо фичи сохранять владельца файлА, даже если его преписывает рут. 9/10 истерик о помощи - повышение или понижение прав на доступ к конфиг или спул файлам. Проделай лабораторную:

chmod u+w sudoers

Самое смешное, что посылать в ... sudo может тебя так, что ни в логах, ни в удаленной консоли ты ее ... не увидишь. Вот и чеши репу!

А был бы атрибут "не менять разрешений" - никто не налетал бы на это после "chmod -R u+w /usr/local/etc"

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

9. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от csa (??) on 23-Янв-06, 10:57 
>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
а можно поподробнее? не флейма ради, а знаний для..
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

12. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от Santa_Claus email(ok) on 23-Янв-06, 13:15 
>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
>а можно поподробнее? не флейма ради, а знаний для..

Ну, например вот permission entry для каталога в винде:
full control
traverse folder/execute file
list folder/read data
read attributes
read extended attributes
create files/append data
write attributes
write extended attributes
delete subfolders and files
delete
read permissions
change permissions
take ownership

и все это раздельно можно задавать для групп юзеров или по отдельным юзерам.

Правда такая гибкость порождает в свою очередь проблемы в том, что нетривиально (быстро и штатными ср-вами в удобочитаемом виде) узнать права всех юзеров на все каталоги.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

14. "Это называется ACL, а не 'система безопасности'."  
Сообщение от Andrey Mitrofanov on 23-Янв-06, 15:42 
>>>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни говорили.
>>а можно поподробнее? не флейма ради, а знаний для..
>Ну, например вот permission entry для каталога в винде:
>full control
>traverse folder/execute file
>list folder/read data
[...skip...]
>и все это раздельно можно задавать для групп юзеров или по отдельным
>юзерам.
Это по-человечески называется ACL. Права доступа к файлам в виде списков, а не триад ugo**rwx. Кому надо, у того ACL есть и в fs, и в самбе, я думаю.

SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на _действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих прав. Это, наверное, ближе к каким-нибудь policies в Win*.

> проблемы в том, что нетривиально
То, что не белается "одной кнопкой", то есть было изначально реализовано разработчиками в виде этой самой "одной кнопки", _будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет по-меньше.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

15. "Это называется ACL, а не 'система безопасности'."  
Сообщение от Santa_Claus email(ok) on 24-Янв-06, 09:00 
>>Ну, например вот permission entry для каталога в винде:
>Это по-человечески называется ACL. Права доступа к файлам в виде списков, а
>не триад ugo**rwx. Кому надо, у того ACL есть и в
>fs

А где подобное в ФС найти?

>SELinux (как и GRSec, и пр.) про другое, про ограничение прав [на
>_действия_], уход от ситуации со всемогущим root-ом, более "мелкозернистое" определение этих
>прав. Это, наверное, ближе к каким-нибудь policies в Win*.

Да и это тоже.

>_будет_ и там, и тут сложно, нетривиально и проблемно. Только мне **кажется**, "непреодолимых" проблем "тут" будет
>по-меньше.

Изначально базар был о том, что SELinux нужен.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

17. "Кому надо, у того есть, кому не надо, 'ищет'..."  
Сообщение от Andrey Mitrofanov on 24-Янв-06, 10:04 
>>Кому надо, у того ACL есть и в fs
> А где подобное в ФС найти?
В. Интернете. google.ru/search?q=ACL+filesystem и т.п.
http://acl.bestbits.at/ "The 2.6 kernel already includes support for ext2, ext3, jfs and xfs."
Ну, или в своём ядре.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

18. "Кому надо, у того есть, кому не надо, 'ищет'..."  
Сообщение от Santa_Claus email(ok) on 24-Янв-06, 12:11 
>>>Кому надо, у того ACL есть и в fs

getfacl, setfacl - Это?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

10. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от K_Sasha on 23-Янв-06, 12:10 
>Не хлопцы, SELinux это необходимость.
>
>Система безопасности Linux по гибкости уже давно проигрывает виндам, чтобы там ни
>говорили.

На сколько мне известно, SELinux разработан для ограничения root с системе, виндофс тут не причем, а уж гибкость тем более, это больше на геморой похоже :(  

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

13. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от Аноним on 23-Янв-06, 15:35 
2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно быстро узнать права пользователя по отношению к каталогам и файлам.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

16. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от Santa_Claus email(ok) on 24-Янв-06, 09:01 
>2Santa-Claus: в этом плане очень удобна ОС Novell с её NDS. Можно
>быстро узнать права пользователя по отношению к каталогам и файлам.

Это да. Но эта ОС уже умерла.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

19. "Практикум по использованию категорий безопасности в SELinux"  
Сообщение от maks (??) on 01-Фев-06, 09:45 
Зато NDS eDirectory, работает как на Линухах, так и Соляре
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру