selinux
Panagiotis Atmatzidis
p.atmatzidis at gmail.com
Tue Aug 29 22:22:57 EEST 2006
Raoul wrote:
[..]
> Αν υπάρχει κάποιο bug στον ίδιο τον σερβερ ή σε κάποιο χρησιμοποιούμενο
> web application, είναι βέβαιο ότι η selinux policy θα προστατέψει το
> υπόλοιπο σύστημα ?
Η απάντηση είναι: <b>Εξαρτάται</b>.
Το πρώτο που πρέπει να ελέγξουμε είναι εάν το configuration είναι
ιδανικό για την χρήση που κάνεις, σε τι επίπεδο είναι τα policies που
έχεις κάνει apply, τι έχεις κάνει apply σε kernel level kαι τι σε user
space, κτλ.
Σε προηγούμενο thread αναλύσαμε λίγο πολύ τα 3 μοντέλα ασφαλείας για
Linux, ίσως σας ενδιαφέρει [1].
Σε προηγούμενο email διάβασα το εξής:
Antonios Anastasiadis wrote:
> Mάλιστα.
>
> Θα περιμένω να βγεί το fedora core 6 να του ρίξω μια ματιά που θα έχει
> και επιπλέον καλογυαλισμένα policies, νέο gui κλπ για να δώ εάν
> μ'αρέσει, καθώς είναι ολίγον τί πολύπλοκο για τα γούστα μου (και δέν
> είμαι σίγουρος εάν αξίζει να ταλαιπωρηθώ τόσο πολύ για να το στήσω σε
> μια πιο hard-core διανομή)
>
> Μερσί
Πολύ όμορφα, όμως τα easy Gui's συνήθως αυξάνουν το abstraction level.
Κι έτσι πάμε σε ένα πολύ γενικό configuration όταν αυτό που συνήθως
θέλουμε είναι διαφορετικό configuration ανα host. Το ίδιο ισχύει και για
τις διανομές, αλλιώς είναι μια slackware/gentoo/crux κι αλλιώς μια
Mandriva/SuSe/Fedora.
Πέρα από την προσωπική μας γκαύλα, δεν ξέρω κι εγώ κατά πόσο έχει νόημα
ένα linux host με SELinux ή grsec τα οποία είναι πραγματικά πολύ
complicated αναλογικά με ένα host το οποίο τρέχει π.χ. PAM properly
configured με άλλα μικρά ξεχωριστά κι ελεγχόμενα security modules. Ο
Ρικούδης πάντως έχει ένα πολύ σωστό point όταν λέει:
"Prospa8oume na tou enswmatwsoume ena montelo asfaleias trabhgmeno apo
ta mallia wste na mporei na prosarmostei se applications pou den exoun
sxediastei wste na epitrepoun "fysiologikh" enswmatwsh tous s'auto to
montelo."
πράγμα που κάνει πολύ πιο πετυχημένα το OpenBSD για παράδειγμα.
Παρόλαυτά σαν μοντέλο ασφαλείας προτιμώ το RSBAC & Linux κι ας μην έχω
βρει ακόμη τον χρόνο να κάνω ένα "σωστό" configuration.. :-(
Lets face it, είμαστε καμμμμμμένοι.
[1]
http://lists.hellug.gr/pipermail/linux-greek-users/2006-May/063201.html
(ρίξτε μια ματιά σε όλο το thread όσοι πιστοί..)
More information about the Linux-greek-users
mailing list