SELinux, AppArmor и др. системы безопасности

Цитата с другой ветки, обсуждение перенесено сюда в отдельно созданную тему.

> Но безопасность в контексте браузера это фантастика, на сегодняшний день.
SELinux по идее должен защищать пользовательское пространство от уязвимостей в приложениях. Правда я пока не освоил эту технику. Может кто из знающих людей покажет пример? Предположим, нужно изолировать браузер Firefox

Вот пример создания политики для гуглохрома:

http://danwalsh.livejournal.com/32759.html

Или пример использования киоск-режима:

http://danwalsh.livejournal.com/11913.html

Но всё вменяемо работает только в Федоре (в нём ведётся официальна разработка), в других дистрах поддержка SELinux не очень хорошая (местами плачевная) и стабильно отлажена только в расчёте на запуск серверов. Многих утилит, фич просто может не быть. Особенно для юзер-приложений и иксов.

>Как написать политику для браузера? Если будет реальный рабочий пример, то для всех остальных приложений можно написать самостоятельно по аналогии.

А вы уже пробовали как-то работать хотя-бы с готовыми политиками? Про всякие тонкости с "domain transition" внятно себе представляете?

По SELinux практически нет ни манов ни доков, только книжки, разрозненные описания в расчёте на опору поддержки дистростроителями готовых политик (что хорошо делается только в Федоре).

На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 След.

Комментарии

—	тестерТьюринга (05/02/2014 13:37) профиль/связь <#> комментариев: 301 документов: 8 редакций: 4

>>Да, ксати о M$: _http://www.heise.de/tp/artikel/5/5263/1.html

>Описание в английской статье какое-то сумбурное. Непонятно, о чем конкретно идёт речь. IMHO, это обычные спекуляции, "жареные новости".

На Cryptome когда-то был репорт, который уже не сохранился(что странно). Но отыскался в вэб-архиве. Там же есть ссылка на любопытный ReplaceNsaKey.zip

Пока не знаю, с какого бока к етому подступиться. Ну и происхождение етого не известно. :)

—	*Гость* (18/04/2014 00:09) <#>

Об этом сервисе, призванном защищать систему от утечек (и возможно, нападений) ходит много мнений – от сложности настройки до мнения как о троянском коне, заботливо всунутом АНБ в Linux в сладкой обертке.
Вот, сегодня опят наткнулся на очередной возглас недовольного параноика:

Адриан Аникушин | 2013-08-05 в 20:16:46
SELinux – Долой SELinux! Это дыра для контроля моих данных якобы позволяющая гибкое обращение к файловой системе программ.. Происки Микрософт и ЦРУ! Долой SELinux! Нет империализации моего оборудования!Вы что не видите!!!! Гавно!

http://guruadmin.ru/page/4-met.....-selinux#comment-966

У меня этот SELinux на десктопе включен по той простой причине, что GEdit, как ни странно, начинает вести себя неадекватно по отношении к обрабатываемым файлам.

А вы, уважаемые эксперты, как считаете – стоит ли использовать SElinux, или ну ее нафиг, это троянскую лошадку? (если действительно она такой и есть).

—	SATtva (18/04/2014 08:43) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Вот, сегодня опят наткнулся на очередной возглас недовольного параноика

It was written on the internet, it must be true.

—	*Гость* (19/04/2014 02:35) <#>

> А вы, уважаемые эксперты, как считаете

Ответы по этому поводу уже давно озвучены.

—	Фантом (22/07/2014 11:52) <#>

Вообщем, получается, что по сути все дистрибутивы скомпрометированы.
Неужели среди всего этого громадья не осталось действительно что-то стоящее?

Может кто поделится, есть ли такая система, где хотя бы минимум по-запихано, которые не очень критичны? Пусть сложная и неудобная, неважно. Запустил, свистнул, и выбросил.

—	cypherpunks (14/08/2015 19:26, исправлен 14/08/2015 19:29) профиль/связь <#> комментариев: 300 документов: 33 редакций: 12

https://www.pgpru.com/comment38599

Для безопасности API в ядре был выбран SELinux, другие альтернативы рассматривались (в том числе AppArmor):
http://lwn.net/Articles/181508/
Вот подробное описание неполноценности ограничивающих моделей ACL по путям (AppArmor, etc).

Работа, которую привели выше интересна тем, что на практике показывает, что реально используемые правила AppArmor немного безопаснее SELinux, но там рассматривается доступ, который злоумышленник может получить к дополнительным утилитам только определённым способом и не рассматриваются другие возможные способы.

Увидел мнение в сети:

The only thing SELinux has over apparmor is greater flexibility (for example
policies involving restricting pipes and IPC signals). When it comes to simple
filesystem-based permission or denial, apparmor and selinux are the same. And
actually apparmor may be slightly more secure due to it being simpler and not
having so many features. So when the intention is to just prevent tor browser
from accessing files it does not need (like /sys) then apparmor is totally
sufficient.
With the apparmor enabled they cannot read your dmesg (/var/log access is
blocked of course). And so is /dev/log. Even if tor browser did have a vuln, and
a root exploit was discovered, then apparmor would STILL prevent dmesg access.
And they cannot see the pci devices either. Those are present in /sys which is
heavily restricted by apparmor.

Это правда? Tails полагается на apparmor

—	Aminгч (22/10/2015 22:13) профиль/связь <#> комментариев: 10 документов: 0 редакций: 0

Основная проблема SELinux – совершенно адовая сложность написания политик.
Да, базовая идея там относительно проста.
Но поскольку работает это на очень низком уровне – по сути, как фильтр системных вызовов в ядре,
то политика селинукса должа описывать каждое телодвижение защищаемого сервиса в каждой возможной позе.

Получается такая ситуация:

* Если у вас федора и на ней стоит стандартный демон типа бинда, апача или мускула,
и при этом все файлы лежат на своих исходных местах, используются только стандартные порты,
то можно поставить Enforcing-режим без проблем – всё будет работать как и раньше.

Небольшие отклонения – типа использования нестандартных портов или размещения файлов
в другой части ФС решаются относительно просто через semanage.

* Для программ пользовательского окружения эта задача красиво не решена до сих пор -
число взаимосвязей между приложениями огромно, и хотя в той же федоре можно заметить в метках
селинука в /home первые шаги в этом направлении, до полноценной изоляции каждого приложения далеко.

* Промежуточный вариант – SELinux Sandbox – периодически ломается.
В частности, в Fedora 21 сломали звук внутри selinux sandbox.
Также я не нашел красивого способа, позволяющего внутрь строго заданной песочницы прокинуть
ровно одно заданное устройство из /dev

И чем сложнее защищаемый сервис, тем более объемной требуется описывающая его рамки политика.

—	pgprubot (25/10/2015 22:34) профиль/связь <#> комментариев: 511 документов: 2 редакций: 70

> Основная проблема SELinux – совершенно адовая сложность написания политик.

> Для программ пользовательского окружения эта задача красиво не решена до сих пор

> до полноценной изоляции каждого приложения далеко.

У нас есть специалисты и по этим вопросам © [1], [2].

Не ставьте принудительные переводы строк внутри абзацев. Это ужасно выглядит, потому что ширина окна браузера у всех разная. Движок сам делает переводы строк там, где это нужно.

На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 След.

Ваша оценка документа [показать результаты]