The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Сравнение возможностей SELinux, AppArmor и Grsecurity"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от opennews on 31-Май-09, 22:33 
"Linux Kernel Security (SELinux vs AppArmor vs Grsecurity) (http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecur...)" - сравнение возможностей SELinux, AppArmor и Grsecurity

URL: http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecur...
Новость: http://www.opennet.ru/opennews/art.shtml?num=21967

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +1 +/
Сообщение от asdf on 31-Май-09, 22:33 
Вопрос. Допустим есть крайне важные документы/база данных, которые имеет право  видеть весьма ограниченный круг лиц (администраторы естественно в него не входят). Если поставить SELinux, возможно ли защититься от злобных админов, т.е не давать им доступ к важной информации и в то же время предоставить неограниченные права по настройке и бэкапу системы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +1 +/
Сообщение от Аноним (??) on 31-Май-09, 22:37 
шифрованный раздел?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от Nick email(??) on 31-Май-09, 22:56 
Это "Role-based Access control".
Grsecurity или RSBAC патчи. Может кто-то ещё так умеет.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от Аноним (??) on 31-Май-09, 23:01 
Администратор может отключить SElinux
помогут только "правовые" ограничения
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от Nick email(??) on 31-Май-09, 23:17 
>Администратор может отключить SElinux
>помогут только "правовые" ограничения

уплывшую информацию не вернуть "правами".

А отключение Селинуха тоже можно запретить

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от ffirefox on 01-Июн-09, 01:06 
>>Администратор может отключить SElinux
>>помогут только "правовые" ограничения
>
>уплывшую информацию не вернуть "правами".
>
>А отключение Селинуха тоже можно запретить

Как говорится, "Клиента можно напоить, оглушить, с труппа - наконец..."

IMHO, я вообще с трудом представляю, как можно что-то закрыть от администратора. Если надо будет, то можно достать через уязвимость (которые находят в любой системе), через установку протрояненого софта или обновления софта, в конце концов через имитацию неисправности и локальным доступом. Другое дело, надо ли будет это админу (может ему и так хорошо платят)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +1 +/
Сообщение от Руслан on 01-Июн-09, 01:40 
Можно, можно.
Я - админ. Я всегда должен думать, что завтра я могу стать плохим человеком, от которого мне нужно сегодня защитить информацию.
Поставив перед собой цель, сделать хорошо и надежно, я сделаю примерно следующее:
- система содержит в себе только минимальный набор утилит, необходимых для подключения важной нагрузки
- минимальный загрузочный образ требует пароль к ключу при запуске
- все бинарники подписаны и зашифрованы, так что запустить что-то с модифицированного образа диска не выйдет, равно как и неподписанное не запустить с немодифицированной системы
- образ подписывается ключем с зашифрованного диска, пароль от которого вводит не админ

Тонкое место в этой системе - кирдыко-защищенность. Но никто не запрещает создать такую же параноидальную систему резервного копирования.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от mma on 01-Июн-09, 06:52 
>образ подписывается ключем с зашифрованного диска, пароль от которого вводит не админ

улыбнуло, и к то же это такой важный у вас вводит ключ? Неужто генеральный согласился поработать за админа?:) А по существу - в крупных организациях где много админов и нужно разделять по ролям делается по другому - есть главный сисадмин или проще говоря "Ведущий специалист по информационной безопасности", вот он то и распределяет роли, наиболее ответственные беря на себя, занимаясь подобными вещами которые не должны видеть/знать рядовые админы. А то смешно получается - образ подписывает админ а вводит пароль не он.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

54. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от User294 (ok) on 01-Июн-09, 18:16 
>Я - админ. Я всегда должен думать, что завтра я могу стать
>плохим человеком, от которого мне нужно сегодня защитить информацию.

Если ты станешь плохим человеком то всегда подстроишь обстоятельства так что информация к тебе попадет, если уж ты ей заведуешь :).Возможно просто стоит разделять "бэкап операторов" и полноправных админов и не брать полноправным админом кого попало?А то так можно и банду грабителей инкассаторами на работу взять :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +1 +/
Сообщение от Анонимоус on 01-Июн-09, 03:59 
>Если поставить SELinux, возможно ли защититься от злобных админов

Уволить злобных, принять на работу людей, которым доверяете. Защищаться от людей, которые вас защищают выглядит как-то противоестественно. Кадры решают все (С)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от Nick email(??) on 01-Июн-09, 04:03 
>>Если поставить SELinux, возможно ли защититься от злобных админов
>
>Уволить злобных, принять на работу людей, которым доверяете. Защищаться от людей, которые
>вас защищают выглядит как-то противоестественно.

На удивление правильная мысль :) И, по сути, правильный ответ на поставленный вопрос.

А совсем правильная - воспринимать как равных себе текущих админов - и ни защищаться,
ни увольнять никого не понадобиться.

"Разделяй и властвуй" внутри конторы ведёт лишь в тупик и банкротство...


> Кадры решают все (С)

Да, Сталин, говоря это, имел об этом представление... ;)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

53. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от User294 (ok) on 01-Июн-09, 17:57 
>неограниченные права по настройке и бэкапу системы?

А что админу с неограниченными правами помешает настроить SELinux? :D
Простите, или уж неограниченные возможности или уж ограничить.Что-нибудь одно.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

60. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от Банзай (??) on 02-Июн-09, 22:37 
>поставить SELinux, возможно ли защититься от злобных админов, т.е не давать
>им доступ к важной информации и в то же время предоставить
>неограниченные права по настройке и бэкапу системы?

Э-э-э... В этом, простите, и есть суть SELinux! :) :) :)
Для этого он сделан и очень хорошо эту задачу решает :)


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

36. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +2 +/
Сообщение от Одмин on 01-Июн-09, 11:17 
Это не сравнение, это просто автор брошюр начитался и по ним выводы строит. никаким сравнением и не пахнет. Ни реальных примеров использования, ни бенчмарков, ни описания типичных проблем эксплуатации там нет.

Особенно рассмешило что у всех систем стоит "perfomance impact-None". И это при том что, например, в доках к selinux явно написано что некоторые хуки будут сильно тормозить систему.

Явно человек ни с одной из этих систем не знаком. Да и grsecurity я бы не стал сравнивать с selinux и apparmor, это просто набор патчей который решает старые проблемы линуха аля "все юзеры могут смотреть dmesg и список процессов друг друга".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Сравнение возможностей SELinux, AppArmor и Grsecurity"  +/
Сообщение от aprogrammer email on 02-Дек-13, 19:11 
Вот еще есть сравнение уровней защиты (что и какой левел добавляет) - http://sysadmin.te.ua/linux/sravnenie-urovnej-zashhity-grsec...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру