id: Гость   вход   регистрация
текущее время 20:48 28/03/2024
Автор темы: unknown, тема открыта 11/04/2010 21:58 Печать
https://www.pgpru.com/Форум/UnixLike/SELinuxAppArmorИДрСистемыБезопасности
создать
просмотр
ссылки

SELinux, AppArmor и др. системы безопасности


Цитата с другой ветки, обсуждение перенесено сюда в отдельно созданную тему.

> Но безопасность в контексте браузера это фантастика, на сегодняшний день.
SELinux по идее должен защищать пользовательское пространство от уязвимостей в приложениях. Правда я пока не освоил эту технику. Может кто из знающих людей покажет пример? Предположим, нужно изолировать браузер Firefox

Вот пример создания политики для гуглохрома:


http://danwalsh.livejournal.com/32759.html


Или пример использования киоск-режима:


http://danwalsh.livejournal.com/11913.html


Но всё вменяемо работает только в Федоре (в нём ведётся официальна разработка), в других дистрах поддержка SELinux не очень хорошая (местами плачевная) и стабильно отлажена только в расчёте на запуск серверов. Многих утилит, фич просто может не быть. Особенно для юзер-приложений и иксов.


А вы уже пробовали как-то работать хотя-бы с готовыми политиками? Про всякие тонкости с "domain transition" внятно себе представляете?


По SELinux практически нет ни манов ни доков, только книжки, разрозненные описания в расчёте на опору поддержки дистростроителями готовых политик (что хорошо делается только в Федоре).


 
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 След.
Комментарии
— unknown (15/09/2013 19:18)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Всё самостоятельно проверить невозможно даже "топовым специалистам". Какие-то оптимизации и упрощения в выборе стратегии построения доверия будут неизбежны.
— Гость (16/09/2013 01:48)   <#>
По поводу "что делать". Распространять идеи и создавать сообщество. Своё "ванильное" ядро из которого вычистить selinix, intel и прочий вредоносный софт от жуликов. Репозиторий открытого кода с цифровыми подписями. Каждый кто замечен в обмане должен быть изгнан из мира свободного ПО. Нужен сайт с базой данных по вредителям и описанием их злодеяний. Понятно что Торвальдс уже скурвился и находится под влиянием "органов", раз считает нормальным включение в ядро закладок от интела, пусть даже нейтрализованных. Должна быть принципиальная позиция – свободное ПО и закладки, даже отключаемые, несовместимы. Тогда спецслужбам будет труднее вербовать коллаборационистов, а Сноуденов станет больше.
— unknown (16/09/2013 02:29, исправлен 16/09/2013 02:31)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Жулики — первые, кто легко меняет вывеску.



Самые критичные уязвимости выглядят случайными ошибками. Чем больше разработчик делает, тем больше у него шансов фатально накосячить при прочих равных. Получится, что изгонять надо всех.



Тролли, провокаторы, любители ложных доносов и профессиональные чёрные пиарщики найдут, чем его наполнить, чтобы развалить сообщество.


Идеи отчасти верные и отчасти не так в худшую сторону от этого всё и ушло, но не так просто построить мир во всём мире. Популизм иногда бывает подозрительнее и разрушительнее, чем уши корпораций, спецслужб и прочих якобы очевидных злодеев.

— Гость (17/09/2013 01:17)   <#>
Речь не о мире во всём мире, а о войне (информационной) с невидимым фронтом. Враг не идентифицирован большинством, и в этом его сила. Нужна тенденция, которая удорожит реализацию его планов и значит снизит эффектиность деятельности. Смена вывески потребует денег, которых в результате не хватит на очередной проект или "спецоперацию". Часть сексотов не получится вербовать по идейным соображениям, а это дополнительные расходы на подкуп безидейных. Раскрытие шпиона внедряющего закладки – это тоже убытки, т.к. нужно будет выращивать нового. Для предотвращения утечек от новых Сноуденов, нужно усиливать секретность, что приведит к снижению производительности "работы". И так далее. Если вы не согласы с этими доводами, напишите что лично вы предлагаете.
— unknown (17/09/2013 13:05, исправлен 17/09/2013 13:07)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Можно предложить для начала не ставить технологии на какую-либо сторону в информационных войнах идеологий. Идеологии соблюдать только нейтрально-технократические — свобода доступа к информации, для развития софта и пр. Каким там внешним целям это служит — разработчикам это оставить в стороне и не ввязываться.

— Гость (17/09/2013 21:36)   <#>
Понятно, вы хотите оставить всё как есть.
— SATtva (17/09/2013 22:14)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Гость, сами начните хоть что-нибудь делать. Глядишь, и другие подтянутся.
— тестерТьюринга (13/10/2013 16:17)   профиль/связь   <#>
комментариев: 301   документов: 8   редакций: 4
Пара примеров давно закрытых багов из ./security/selinux/hooks.c, fs/cifs/cifsencrypt.c Смотрю на них с точки зрения того, какова вероятность не случайного их появления. Правильно ли я понял cifsencrypt, что через HMACMD5Context была возможность атаки на HMAC-MD5?
— unknown (13/10/2013 17:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Это вроде просто утечка памяти со значениями соответствующих HMAC.
— тестерТьюринга (13/10/2013 18:32)   профиль/связь   <#>
комментариев: 301   документов: 8   редакций: 4

Если знать адрес переменной pctxt в памяти, то будет доступ к остаточной информации на месте заполняемой struct HMACMD5Context. А вот достаточно ли этой информации для атаки – вопрос.
— Гость (14/10/2013 15:06)   <#>

Это – элемент идеологии :)


А это к тому же и дискриминация!


Такое потакание технократической безответственности и безнравственности быть может и было допустимо лет сто назад, но при современном уровне научно-техническоно развития вероятно ведёт уже к глобальной кастрофе. И, вероятно, объясняет уже случавшиеся.
— Гость (14/10/2013 18:34)   <#>
В науке все что можно сделать, будет сделано. Не теми, так другими. Кто занимается излишним морализаторством и политизацией, упускает возможности и неизбежно оказывается в отстающих.
Не можешь победить – возглавь, кое где это поняли, поэтому США сейчас сверхдержава, у них делаются все технологии изменяющие мир и мир вынужден их бесконечно догонять. А высокоморальный и идеологичный СССР не существует.
— Гость (14/10/2013 19:25)   <#>
[Батя разрешил разок офтопнуть]

В лженауке все что можно сделать, будет сделано. Не другими, так теми, кто занимается лишним, упускает возможности и неизбежно оказывается в отстающих*.
Не можешь возглавить – победи, кое где это не поняли, поэтому сейчас двигаются в тупик, у них делаются все бусы и бутафории изменяющие мир и мир вынужден их бесконечно потреблять. А высокоаморальный и идеологически циничный СССР не существует теперь даже на бумаге.

*У Кэти Топурии есть замечательная пестня, там такие строки: красота — среди бегущих первых нет и отстающих, бег на месте общепримеряющий!

[/Батя сказал на сегодня харош]
— sentaus (14/10/2013 19:40)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
*У Кэти Топурии есть замечательная пестня, там такие строки: красота — среди бегущих первых нет и отстающих, бег на месте общепримеряющий!


(facepalm.jpg)
— Гость (15/10/2013 00:22)   <#>
*У Кэти Топурии
?? это шутка такая?
На страницу: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3