The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Сравнение возможностей SELinux, AppArmor и Grsecurity

31.05.2009 22:01

"Linux Kernel Security (SELinux vs AppArmor vs Grsecurity)" - сравнение возможностей SELinux, AppArmor и Grsecurity

  1. Главная ссылка к новости (http://www.cyberciti.biz/tips/...)
Лицензия: CC-BY
Тип: английский / Практикум
Ключевые слова: linux, kernel, security, SELinux, AppArmor, Grsecurity
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (15) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, asdf (?), 22:33, 31/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вопрос. Допустим есть крайне важные документы/база данных, которые имеет право  видеть весьма ограниченный круг лиц (администраторы естественно в него не входят). Если поставить SELinux, возможно ли защититься от злобных админов, т.е не давать им доступ к важной информации и в то же время предоставить неограниченные права по настройке и бэкапу системы?
     
     
  • 2.2, Аноним (-), 22:37, 31/05/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    шифрованный раздел?
     
  • 2.3, Nick (??), 22:56, 31/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это "Role-based Access control".
    Grsecurity или RSBAC патчи. Может кто-то ещё так умеет.
     
  • 2.4, Аноним (-), 23:01, 31/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Администратор может отключить SElinux
    помогут только "правовые" ограничения
     
     
  • 3.5, Nick (??), 23:17, 31/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Администратор может отключить SElinux
    >помогут только "правовые" ограничения

    уплывшую информацию не вернуть "правами".

    А отключение Селинуха тоже можно запретить

     
     
  • 4.6, ffirefox (?), 01:06, 01/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Администратор может отключить SElinux
    >>помогут только "правовые" ограничения
    >
    >уплывшую информацию не вернуть "правами".
    >
    >А отключение Селинуха тоже можно запретить

    Как говорится, "Клиента можно напоить, оглушить, с труппа - наконец..."

    IMHO, я вообще с трудом представляю, как можно что-то закрыть от администратора. Если надо будет, то можно достать через уязвимость (которые находят в любой системе), через установку протрояненого софта или обновления софта, в конце концов через имитацию неисправности и локальным доступом. Другое дело, надо ли будет это админу (может ему и так хорошо платят)

     
     
  • 5.7, Руслан (?), 01:40, 01/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно, можно.
    Я - админ. Я всегда должен думать, что завтра я могу стать плохим человеком, от которого мне нужно сегодня защитить информацию.
    Поставив перед собой цель, сделать хорошо и надежно, я сделаю примерно следующее:
    - система содержит в себе только минимальный набор утилит, необходимых для подключения важной нагрузки
    - минимальный загрузочный образ требует пароль к ключу при запуске
    - все бинарники подписаны и зашифрованы, так что запустить что-то с модифицированного образа диска не выйдет, равно как и неподписанное не запустить с немодифицированной системы
    - образ подписывается ключем с зашифрованного диска, пароль от которого вводит не админ

    Тонкое место в этой системе - кирдыко-защищенность. Но никто не запрещает создать такую же параноидальную систему резервного копирования.

     
     
  • 6.10, mma (?), 06:52, 01/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >образ подписывается ключем с зашифрованного диска, пароль от которого вводит не админ

    улыбнуло, и к то же это такой важный у вас вводит ключ? Неужто генеральный согласился поработать за админа?:) А по существу - в крупных организациях где много админов и нужно разделять по ролям делается по другому - есть главный сисадмин или проще говоря "Ведущий специалист по информационной безопасности", вот он то и распределяет роли, наиболее ответственные беря на себя, занимаясь подобными вещами которые не должны видеть/знать рядовые админы. А то смешно получается - образ подписывает админ а вводит пароль не он.

     
  • 6.54, User294 (ok), 18:16, 01/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Я - админ. Я всегда должен думать, что завтра я могу стать
    >плохим человеком, от которого мне нужно сегодня защитить информацию.

    Если ты станешь плохим человеком то всегда подстроишь обстоятельства так что информация к тебе попадет, если уж ты ей заведуешь :).Возможно просто стоит разделять "бэкап операторов" и полноправных админов и не брать полноправным админом кого попало?А то так можно и банду грабителей инкассаторами на работу взять :)

     
  • 2.8, Анонимоус (?), 03:59, 01/06/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Если поставить SELinux, возможно ли защититься от злобных админов

    Уволить злобных, принять на работу людей, которым доверяете. Защищаться от людей, которые вас защищают выглядит как-то противоестественно. Кадры решают все (С)

     
     
  • 3.9, Nick (??), 04:03, 01/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Если поставить SELinux, возможно ли защититься от злобных админов
    >
    >Уволить злобных, принять на работу людей, которым доверяете. Защищаться от людей, которые
    >вас защищают выглядит как-то противоестественно.

    На удивление правильная мысль :) И, по сути, правильный ответ на поставленный вопрос.

    А совсем правильная - воспринимать как равных себе текущих админов - и ни защищаться,
    ни увольнять никого не понадобиться.

    "Разделяй и властвуй" внутри конторы ведёт лишь в тупик и банкротство...


    > Кадры решают все (С)

    Да, Сталин, говоря это, имел об этом представление... ;)

     
  • 2.53, User294 (ok), 17:57, 01/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >неограниченные права по настройке и бэкапу системы?

    А что админу с неограниченными правами помешает настроить SELinux? :D
    Простите, или уж неограниченные возможности или уж ограничить.Что-нибудь одно.

     
  • 2.60, Банзай (??), 22:37, 02/06/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >поставить SELinux, возможно ли защититься от злобных админов, т.е не давать
    >им доступ к важной информации и в то же время предоставить
    >неограниченные права по настройке и бэкапу системы?

    Э-э-э... В этом, простите, и есть суть SELinux! :) :) :)
    Для этого он сделан и очень хорошо эту задачу решает :)


     

  • 1.36, Одмин (?), 11:17, 01/06/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Это не сравнение, это просто автор брошюр начитался и по ним выводы строит. никаким сравнением и не пахнет. Ни реальных примеров использования, ни бенчмарков, ни описания типичных проблем эксплуатации там нет.

    Особенно рассмешило что у всех систем стоит "perfomance impact-None". И это при том что, например, в доках к selinux явно написано что некоторые хуки будут сильно тормозить систему.

    Явно человек ни с одной из этих систем не знаком. Да и grsecurity я бы не стал сравнивать с selinux и apparmor, это просто набор патчей который решает старые проблемы линуха аля "все юзеры могут смотреть dmesg и список процессов друг друга".

     
  • 1.61, aprogrammer (?), 19:11, 02/12/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот еще есть сравнение уровней защиты (что и какой левел добавляет) - http://sysadmin.te.ua/linux/sravnenie-urovnej-zashhity-grsecurity.html
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру