chroot, AppArmor, SELinux и прочие DAC'и и MAC'и

apparmor, chroot, mac, selinux, безопасность

0

1

Доброго времени суток, коллеги.

В ходе работы завязался спор с коллегами. Точнее с одним. Он настаивает, что любые сервисы, «смотрящие» в интернет, необходимо запихивать в chroot. При этом изучать AppArmor (что удобнее, т.к. Debian Jessie) или SELinux он не желает, т.к. «сложно и вообще всё сломаться может».

Очень много ресурсов в интернете утверждают, что использование chroot для безопасности - это «упражнение в бесполезности». Понимаю, что абсолютной безопасности не существует, её лишь можно наращивать, как слои у луковицы, однако вопрос остаётся: добавляет ли chroot хоть что-то в плане изоляции сервиса от ОС, или нам не стоит вообще раздумывать над этим и забить, либо всё-таки начать использовать AppArmor?

Ссылка

←	xl2pd рвется соединение

Запуск uwsgi, ubuntu 16.04, systemd

→

По-моему, chroot это не про безопасность, а про развертывание и инсталляцию ПО. Безопасноть там постолько-поскольку, и не является достаточной. Но могу ошибаться

Deleted
(22.03.17 16:47:59 MSK)

Ссылка

Если AppArmot и SELinux слишком сложны, есть firejail. Намного лучше, чем chroot, но проще в использовании, чем SELinux или AppArmor.

~~Psych218~~ ★★★★★
(22.03.17 16:53:03 MSK)

добавляет ли chroot хоть что-то в плане изоляции сервиса от ОС

Добавляет, но толка от этого мало.
Если так хочется в chroot то есть https://en.wikipedia.org/wiki/Grsecurity
А ещё лучше применять контейнер, раз selinux и/или apparmor слишком сложно. Всё лучше, чем chroot.

imul ★★★★★
(22.03.17 17:09:46 MSK)

Ссылка

Ответ на: комментарий от Psych218 22.03.17 16:53:03 MSK

Наверное, посмотрю в сторону firejail. Не знаю, смогу ли ввести AppArmor да так, чтобы поддерживалось и после моего возможного ухода.

Спасибо!

zuzzas ★
(22.03.17 19:12:18 MSK) автор топика

Ссылка

... либо всё-таки начать использовать AppArmor?

Крайне не рекомендую проявлять собственную инициативу и без согласования внедрять такие специфические вещи как MAC/RBAC, тем более если в коллективе уже сейчас есть разногласия по этому поводу (т.е. вероятность диверсии от одного из исполнителей не нулевая). Донесите свои идеи до вышестоящего начальства (опишите плюсы и минусы), принятие решений — это их работа.

viewizard ★★
(23.03.17 22:05:52 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	xl2pd рвется соединение

Admin

Запуск uwsgi, ubuntu 16.04, systemd

→

Похожие темы