selinux
Raoul
raoul at raoul.shacknet.nu
Wed Aug 30 03:46:25 EEST 2006
On Tue, 2006-08-29 at 22:22 +0300, Panagiotis Atmatzidis wrote:
> Raoul wrote:
> [..]
> > Αν υπάρχει κάποιο bug στον ίδιο τον σερβερ ή σε κάποιο χρησιμοποιούμενο
> > web application, είναι βέβαιο ότι η selinux policy θα προστατέψει το
> > υπόλοιπο σύστημα ?
>
> Η απάντηση είναι: <b>Εξαρτάται</b>.
>
> Το πρώτο που πρέπει να ελέγξουμε είναι εάν το configuration είναι
> ιδανικό για την χρήση που κάνεις, σε τι επίπεδο είναι τα policies που
> έχεις κάνει apply, τι έχεις κάνει apply σε kernel level kαι τι σε user
> space, κτλ.
Χρησιμοποιώ την default targeted policy. Απλά έφτιαξα κάποια custom
policy modules για να μπορούν να δουλέψουν τα διάφορα services. Αν δεν
έκανα κάτι τέτοιο δεν θα δούλευε τίποτα σωστά. Δεν είχα ούτε χρόνο ούτε
όρεξη να ασχοληθώ σε βάθος με την default policy...
Μάλλον κάποια στιγμή θα χρησιμοποιήσω το seedit για να τα έχω όλα
οργανωμένα σε ένα interface, παρά να γυροφέρνω από module σε module με
ενδιάμεσους σταθμούς στο audit log.
> Σε προηγούμενο thread αναλύσαμε λίγο πολύ τα 3 μοντέλα ασφαλείας για
> Linux, ίσως σας ενδιαφέρει [1].
Ενδιαφέρον thread. Δεν του είχα δώσει την ανάλογη προσοχή. :-)
>
> Σε προηγούμενο email διάβασα το εξής:
>
> Antonios Anastasiadis wrote:
> > Mάλιστα.
> >
> > Θα περιμένω να βγεί το fedora core 6 να του ρίξω μια ματιά που θα έχει
> > και επιπλέον καλογυαλισμένα policies, νέο gui κλπ για να δώ εάν
> > μ'αρέσει, καθώς είναι ολίγον τί πολύπλοκο για τα γούστα μου (και δέν
> > είμαι σίγουρος εάν αξίζει να ταλαιπωρηθώ τόσο πολύ για να το στήσω σε
> > μια πιο hard-core διανομή)
> >
> > Μερσί
>
> Πολύ όμορφα, όμως τα easy Gui's συνήθως αυξάνουν το abstraction level.
Τουλάχιστον για το τωρινό gui ρύθμισης του selinux στο fedora
(ενσωματωμένο στο utility system-config-securitylevel), το παραπάνω
είναι αλήθεια. Το συγκεκριμένο interface πιστεύω ότι υπάρχει μόνο και
μόνο για να να διευκολύνει την παροχή support μέσω forums, irc κτλ
σεόσους δεν ενδιαφέρονται να μάθουν κάποια πράγματα για το selinux, αλλά
από την άλλη θέλουν να το έχουν ενεργοποιημένο. Δεν προσφέρει τίποτα.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20060830/de1a5b68/attachment.pgp>
More information about the Linux-greek-users
mailing list