SELinux, AppArmor и др. системы безопасности
Цитата с другой ветки, обсуждение перенесено сюда в отдельно созданную тему.
> Но безопасность в контексте браузера это фантастика, на сегодняшний день.
SELinux по идее должен защищать пользовательское пространство от уязвимостей в приложениях. Правда я пока не освоил эту технику. Может кто из знающих людей покажет пример? Предположим, нужно изолировать браузер Firefox
Вот пример создания политики для гуглохрома:
http://danwalsh.livejournal.com/32759.html
Или пример использования киоск-режима:
http://danwalsh.livejournal.com/11913.html
Но всё вменяемо работает только в Федоре (в нём ведётся официальна разработка), в других дистрах поддержка SELinux не очень хорошая (местами плачевная) и стабильно отлажена только в расчёте на запуск серверов. Многих утилит, фич просто может не быть. Особенно для юзер-приложений и иксов.
А вы уже пробовали как-то работать хотя-бы с готовыми политиками? Про всякие тонкости с "domain transition" внятно себе представляете?
По SELinux практически нет ни манов ни доков, только книжки, разрозненные описания в расчёте на опору поддержки дистростроителями готовых политик (что хорошо делается только в Федоре).
комментариев: 301 документов: 8 редакций: 4
На Cryptome когда-то был репорт, который уже не сохранился(что странно). Но отыскался в вэб-архиве. Там же есть ссылка на любопытный ReplaceNsaKey.zip
Пока не знаю, с какого бока к етому подступиться. Ну и происхождение етого не известно. :)
Вот, сегодня опят наткнулся на очередной возглас недовольного параноика:
http://guruadmin.ru/page/4-met.....-selinux#comment-966
У меня этот SELinux на десктопе включен по той простой причине, что GEdit, как ни странно, начинает вести себя неадекватно по отношении к обрабатываемым файлам.
А вы, уважаемые эксперты, как считаете – стоит ли использовать SElinux, или ну ее нафиг, это троянскую лошадку? (если действительно она такой и есть).
комментариев: 11558 документов: 1036 редакций: 4118
It was written on the internet, it must be true.
Ответы по этому поводу уже давно озвучены.
Неужели среди всего этого громадья не осталось действительно что-то стоящее?
комментариев: 300 документов: 33 редакций: 12
https://www.pgpru.com/comment38599
Увидел мнение в сети:
Это правда? Tails полагается на apparmor
комментариев: 10 документов: 0 редакций: 0
Да, базовая идея там относительно проста.
Но поскольку работает это на очень низком уровне – по сути, как фильтр системных вызовов в ядре,
то политика селинукса должа описывать каждое телодвижение защищаемого сервиса в каждой возможной позе.
Получается такая ситуация:
* Если у вас федора и на ней стоит стандартный демон типа бинда, апача или мускула,
и при этом все файлы лежат на своих исходных местах, используются только стандартные порты,
то можно поставить Enforcing-режим без проблем – всё будет работать как и раньше.
Небольшие отклонения – типа использования нестандартных портов или размещения файлов
в другой части ФС решаются относительно просто через semanage.
* Для программ пользовательского окружения эта задача красиво не решена до сих пор -
число взаимосвязей между приложениями огромно, и хотя в той же федоре можно заметить в метках
селинука в /home первые шаги в этом направлении, до полноценной изоляции каждого приложения далеко.
* Промежуточный вариант – SELinux Sandbox – периодически ломается.
В частности, в Fedora 21 сломали звук внутри selinux sandbox.
Также я не нашел красивого способа, позволяющего внутрь строго заданной песочницы прокинуть
ровно одно заданное устройство из /dev
И чем сложнее защищаемый сервис, тем более объемной требуется описывающая его рамки политика.
комментариев: 511 документов: 2 редакций: 70
У нас есть специалисты и по этим вопросам © [1], [2].
Не ставьте принудительные переводы строк внутри абзацев. Это ужасно выглядит, потому что ширина окна браузера у всех разная. Движок сам делает переводы строк там, где это нужно.