OpenForum RSS: OpenNews: Разработчики OpenBSD отвергают подход SELinux https://www.opennet.ru/openforum/vsluhforumID3/38524.html В списке рассылки OpenBSD-misc разгорелась дискуссия (http://kerneltrap.org/OpenBSD/SELinux_vs_OpenBSDs_Default_Security) в которой сравнивались текущие средства безопасности OpenBSD с возможностями предоставляемыми SELinux. Разработчики пришли к выводу, что главная проблема SELinux в излишне усложненном языке определения политик безопасности. <br><br><br>По опыту Damien Miller (http://www.mindrot.org/projects/), основного разработчика OpenSSH, для многих не типовых решений политики безопасности используемые в дистрибутивах по умолчанию непригодны, и большинство администраторов, вместо изменения правил доступа, прибегают к более простому пути - отключают SELinux. <br><br><br>Ted Unangst считает, что главная проблема организации безопасности, через определение политик, заключается в том, что политики всегда неправильны.<br><br><br>Darrin Chandler предполагает, что безопасность не должна даваться свыше, безопасность должна устанавливаться в процессе разработки. В OpenBSD безопасность - атрибут кода и часть процесса разработки. Разработчики OpenBSD отвергают подход SELinux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#22 Mon, 20 Apr 2009 06:11:05 GMT &gt;Вероятность этого недалека от вероятности того что миллион мартышек за печатными машинками <br>&gt;напишут войну и мир.Это немного не те люди которые могут спроектировать <br>&gt;что-то простое для конечного юзера. <br><br>Ну про совсем конечных пользователей речь и не идёт, нужно всё-таки быть администратором системы. А вот придумать эти ребята много чего придумали: pf, OpenSSH и т.д. И система одна из лучших по части документированности!<br> Разработчики OpenBSD отвергают подход SELinux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#21 Sun, 30 Sep 2007 02:35:27 GMT &gt;Всё это так же и к FreeBSD-шному MAC-у относится, за 2 года <br>&gt;руки так и не поднялись настроить, т.к. мегагемор... Надеюсь OpenBSDшники придумают <br>&gt;что-то лучше, на что потом все перейдут... :-) <br><br>Вероятность этого недалека от вероятности того что миллион мартышек за печатными машинками напишут войну и мир.Это немного не те люди которые могут спроектировать что-то простое для конечного юзера.<br><br><br> Разработчики OpenBSD отвергают подход SELinux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#20 Fri, 28 Sep 2007 23:09:50 GMT в убунту apparmor будет<br> Разработчики OpenBSD отвергают подход SELinux (Moralez) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#19 Fri, 28 Sep 2007 08:01:22 GMT Всё это так же и к FreeBSD-шному MAC-у относится, за 2 года руки так и не поднялись настроить, т.к. мегагемор... Надеюсь OpenBSDшники придумают что-то лучше, на что потом все перейдут... :-)<br> Разработчики OpenBSD отвергают подход SELinux (ЩекнИтрч) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#18 Thu, 27 Sep 2007 01:23:25 GMT &gt; писать правильный код :) ...<br><br>А как "правильный код" позволит задать правила редистрибуции документов?<br>Например, Маня может печатать и слать на мыло, группа Фени - просматривать, а группа Вени только печатать?<br><br>И так далее?<br><br>Что-то там ум за разум у койкого.<br> Разработчики OpenBSD отвергают подход SELinux (serg1224) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#17 Wed, 26 Sep 2007 23:04:19 GMT Одно другого не исключает: можно и программы стараться писать без ошибок и создавать новые технологии безопасности.<br><br>Кстати, системы типа SELinux помогают предотвратить неописанные угрозы. Допустим некая программа написана без багов и реализует возможности некоего сетевого протокола на 100% в соответствии с неким RFC. И вот через годик обнаруживается дырка, но не в программе, а в протоколе!<br> Разработчики OpenBSD отвергают подход SELinux (cmp) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#13 Wed, 26 Sep 2007 20:33:34 GMT Костылем это было костылем и останется, будем надеятся хватит ума не пихать эту хрень куда попало, чтобы потом не удалять<br> Разработчики OpenBSD отвергают подход SELinux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#12 Wed, 26 Sep 2007 19:56:35 GMT Глупость , ни кто ни чем не занимается. Два подхода к безопасности, в заметке нечётко расставлены интонации. Идея в проблеме чрезмерного усложнения системы ,что ведёт к увеличению возможности ошибки администратора, и снижения оной путём более критичного отношения к безопасности при написании кода. Что в принципе правильно,как и призыв "нет войне" все понимают что да , войне таки нет, но войны все равно идут. <br> Разработчики OpenBSD отвергают подход SELinux (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/38524.html#10 Wed, 26 Sep 2007 19:29:57 GMT &gt; выпустят фронтенд к своим патчам с двумя чекбоксами "безопасно" и "сильно безопасно"<br><br>Давно уже есть где чекбоксы ставить - system-config-selinux<br>тока их там побольше двух :)<br>а "безопасно" и "сильно безопасно" выбирается в выпадающем списке :)<br>Соответственно "целевая политика" и "строгая" <br>