В материале "Linux security non-modules and AppArmor (http://www.linuxworld.com/news/2007/070307-kernel.html)" разбирается вопрос возможности включения в основное Linux ядро более простой, по сравнению с SELinux, системы создания политик безопасности AppArmor (http://en.opensuse.org/Apparmor).
Недавно разработчикам Linux ядра была представлена (http://lwn.net/Articles/239951/) новая версия AppArmor патча (http://forgeftp.novell.com//apparmor/LKML_Submission-June-07/), в которой были исправлены ранее высказанные замечания.
Но политики AppArmor по прежнему задаются в привязке к файловому пути, а не через непосредственную привязку метки к объекту, что по мнению некоторых специалистов создает лишь иллюзию безопасности. Это и является главным камнем преткновения, мешающим включению AppArmor в основное ядро.URL: http://www.linuxworld.com/news/2007/070307-kernel.html
Новость: http://www.opennet.me/opennews/art.shtml?num=11280
Торвальдсу бы получше к RSBAC присмотреться, вместо того, чтобы недобезопасность (SELinux,AppArmor) в ядро запихивать
SELinux дает практически тотже эффекто что и RSBAC, только при меньших затратах и патчах на софт.
Вот Novell взяла бы и довела до ума RSBAC а не городила бы свой велосипед. А так на сегодня SELinux более практически применим чем RSBAC.
Dear Аноним,
есть ведь какая-то веская причина, почему Novell городит? Или там неумные мужи?
Ну уж... Microsoft тоже много чего городит. И мужики там умные. Просто цель у них -- зарабатывать деньги, а не хорошие продукты выпускать.Так что это не показатель, IMHO.
> есть ведь какая-то веская причина, почему Novell городит?
Деньги! ONLY!
>Dear Аноним,
>есть ведь какая-то веская причина, почему Novell городит? Или там неумные мужи?
>Мои наблюдения говорят о том, что всё то, что попадает к Novell'у через некоторое время превращается в развалины и потом спешно продаётся. Главный и по-настоящему хороший продукт NDS (eDir) и то не смогли продвинуть, несмотря на все его достоинства. Если бы NDS достался, скажем, MS, тогда бы они им весь земной шар смогли "попутать".
> всё то, что попадает к Novell'у через некоторое время
> превращается в развалины и потом спешно продаётся.+100!
Очень интересно, почему RSBAC - это круто, а SELinux - "недобезопасность". Если можно, без соплей и со ссылкой на модели.
RSBAC - это же какая-то там книга (оранжевая, что ли), i.e. стандарт для Пентагона?
Или я ошибаюсь?
Я не знаток "книг Пентагона", врать не буду. А то, что RHEL5 первой из Linux получила сертификат Common Criteria того же уровня, что и Trusted Solaris - медицинский факт.А вообще RSBAC - это GNU спецификация ограничения доступа, включающая в себя мандатный доступ, списки доступа, интерфейс к антивирусам и что-то типа RBAC (правила доступа, основанные на ролях).
SELinux, естественно, имеет меньше возможностей, чем RSBAC. Но на защищенном сервере они нафиг не нужны. Контекстных правил SELinux достаточно.
А вы читали мнения из rsbac и grsecurity по поводу selinux? Очень интересное чтиво http://www.rsbac.org/documentation/why_rsbac_does_not_use_lsm http://www.grsecurity.net/lsm.php
Теперь уже да, читал. Покажите мне работающий RSBAC - и я составлю свой список претензий.
Увы работающий нормально(насколько я мог видеть) он был только в alt castle. Остальное как то не прельщает.