forum.opennet.ru

Составление сообщения

Исходное сообщение

"AppArmor и Yama будут включены в Linux-ядро 2.6.36"
Отправлено User294, 01-Авг-10 12:04

>У того, кто selinux изучил, таких глупых проблем не возникнет.
В природе есть два мнения - ваше и неправильное? :)
>Если уязвимость в ядре, могут сломать любой механизм изоляции, включая LSM-based MAC
>или те же контейнеры.
Сильно зависит от контейнеров. Практика показала что даже в простейших - почему-то эксплойты не срабатывают, а на просто железке SELinux отправляется нафиг в 2 счета. Хотя при особой параное насчет изоляции можно юзать виртуалки где гипервизор маленький и потому скорее всего содержит довольно мало багов. Сие было реализовано например Рутковской в ее параноидальной системе, например :)
>Очень продуктивно. По сравнению с selinux - сильно экономит место на диске,
При современных объемах дисков - сие проблемой вообще не является, имхо. Тем более что контейнеры могут быть небольшими, с минимальными окружениями.
>память
Вот это есть. Слегка для легких контейнеров, во весь рост для тяжелых полных виртуалок. Однако допускается что в продакшне большую ее часть жрут все-таки полезные сервисы и нужные для их работы сущнеости, а не окружение само по себе. Кстати в линух IIRC внедряют технологию объединения одинаковых страниц. При юзеже оной фичи должно полегчать - одинаковые куски системы будут в памяти 1 раз всего.
>и нагрзку на проц.
А что - нагрузка на проц? Минимальные и простые контейнеры (с степенью изоляции не хуже а может и лучше чем у селинукса и явно большими возможностями) - почти не отличаются от bare metal. Разница на несколько процентов максимум. Еще вопрос, не больше ли слопает SELinux: лишние проверки прав как бы не нахаляву происходят. Тяжелые штуки типа XEN - да, разумеется. Зато там вместо взлома ядра для полного поимения надо ломать гипервизор, что как-бы совсем иная степень защиты, рядом с которой SELinux и рядом не стоял.
>Зато уровень защиты тот же.
Практика показала что это не совсем так. Берем сплойт из новости про повышение прав в линухе. Огреваем им систему с селинухом. Наблюдаем как огребли рута и селинукс быстренько пошел к черту. Пробуем огреть чего-нибудь тем же сплойтом из хотя-бы опенвзового контейнера ... и обламываемся. Потому как сплойт вообще не срабатывает...

Исходное сообщение
"AppArmor и Yama будут включены в Linux-ядро 2.6.36" Отправлено User294, 01-Авг-10 12:04
>У того, кто selinux изучил, таких глупых проблем не возникнет. В природе есть два мнения - ваше и неправильное? :) >Если уязвимость в ядре, могут сломать любой механизм изоляции, включая LSM-based MAC >или те же контейнеры. Сильно зависит от контейнеров. Практика показала что даже в простейших - почему-то эксплойты не срабатывают, а на просто железке SELinux отправляется нафиг в 2 счета. Хотя при особой параное насчет изоляции можно юзать виртуалки где гипервизор маленький и потому скорее всего содержит довольно мало багов. Сие было реализовано например Рутковской в ее параноидальной системе, например :) >Очень продуктивно. По сравнению с selinux - сильно экономит место на диске, При современных объемах дисков - сие проблемой вообще не является, имхо. Тем более что контейнеры могут быть небольшими, с минимальными окружениями. >память Вот это есть. Слегка для легких контейнеров, во весь рост для тяжелых полных виртуалок. Однако допускается что в продакшне большую ее часть жрут все-таки полезные сервисы и нужные для их работы сущнеости, а не окружение само по себе. Кстати в линух IIRC внедряют технологию объединения одинаковых страниц. При юзеже оной фичи должно полегчать - одинаковые куски системы будут в памяти 1 раз всего. >и нагрзку на проц. А что - нагрузка на проц? Минимальные и простые контейнеры (с степенью изоляции не хуже а может и лучше чем у селинукса и явно большими возможностями) - почти не отличаются от bare metal. Разница на несколько процентов максимум. Еще вопрос, не больше ли слопает SELinux: лишние проверки прав как бы не нахаляву происходят. Тяжелые штуки типа XEN - да, разумеется. Зато там вместо взлома ядра для полного поимения надо ломать гипервизор, что как-бы совсем иная степень защиты, рядом с которой SELinux и рядом не стоял. >Зато уровень защиты тот же. Практика показала что это не совсем так. Берем сплойт из новости про повышение прав в линухе. Огреваем им систему с селинухом. Наблюдаем как огребли рута и селинукс быстренько пошел к черту. Пробуем огреть чего-нибудь тем же сплойтом из хотя-бы опенвзового контейнера ... и обламываемся. Потому как сплойт вообще не срабатывает...

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>У того, кто selinux изучил, таких глупых проблем не возникнет.

> В природе есть два мнения - ваше и неправильное? :)

>>Если уязвимость в ядре, могут сломать любой механизм изоляции, включая LSM-based MAC 
>>или те же контейнеры.

> Сильно зависит от контейнеров. Практика показала что даже в простейших - почему-то 
> эксплойты не срабатывают, а на просто железке SELinux отправляется нафиг в 
> 2 счета. Хотя при особой параное насчет изоляции можно юзать виртуалки 
> где гипервизор маленький и потому скорее всего содержит довольно мало багов. 
> Сие было реализовано например Рутковской в ее параноидальной системе, например :)

>>Очень продуктивно. По сравнению с selinux - сильно экономит место на диске,

> При современных объемах дисков - сие проблемой вообще не является, имхо. Тем 
> более что контейнеры могут быть небольшими, с минимальными окружениями.

>>память

> Вот это есть. Слегка для легких контейнеров, во весь рост для тяжелых 
> полных виртуалок. Однако допускается что в продакшне большую ее часть жрут 
> все-таки полезные сервисы и нужные для их работы сущнеости, а не 
> окружение само по себе. Кстати в линух IIRC внедряют технологию объединения 
> одинаковых страниц. При юзеже оной фичи должно полегчать - одинаковые куски 
> системы будут в памяти 1 раз всего.

>>и нагрзку на проц.

> А что - нагрузка на проц? Минимальные и простые контейнеры (с степенью 
> изоляции не хуже а может и лучше чем у селинукса и 
> явно большими возможностями) - почти не отличаются от bare metal. Разница 
> на несколько процентов максимум. Еще вопрос, не больше ли слопает SELinux: 
> лишние проверки прав как бы не нахаляву происходят. Тяжелые штуки типа 
> XEN - да, разумеется. Зато там вместо взлома ядра для полного 
> поимения надо ломать гипервизор, что как-бы совсем иная степень защиты, рядом 
> с которой SELinux и рядом не стоял.

>>Зато уровень защиты тот же.

> Практика показала что это не совсем так. Берем сплойт из новости про 
> повышение прав в линухе. Огреваем им систему с селинухом. Наблюдаем как 
> огребли рута и селинукс быстренько пошел к черту. Пробуем огреть чего-нибудь 
> тем же сплойтом из хотя-бы опенвзового контейнера ... и обламываемся. Потому 
> как сплойт вообще не срабатывает...

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру