SeLinux и NSA

Всё возможно. Дэн Уолш — тот ещё «црушник» ;)

Нет ли там бэкдоров, специально по такому случаю?

https://www.google.ru/?gws_rd=cr&ei=Sb5WU8CGNLCM4gTqkIHICg#newwindow=1&am...

Его тут вообще кто-то юзает? Выглядит, как что-то труднодоступное для понимания.

в мсвс

А если человек вообще далёк от линукса, осилить ЭТО будет очень трудноо или для начала нужно осилить что-то попроще?

зачем? админы же есть

Я пробовал. Но потом отказался. Решил, что мне это не нужно.

это грубо говоря ещё 1 слой над UID

На самом деле, это не шибко сложно:

http://www.gentoo.org/proj/en/hardened/selinux/selinux-handbook.xml

В наше неспокойное время верить можно никому, сами знаете...

Если это слой НАД uid, значит за обычные разрешения можно не париться и настраивать всё и сразу в selinux?

Кстати, насчет selinux. написание своей политики как-нибудь описано? Что вообще надо?

Отличный хэндбук, листаю...

Нет, не значит.

Если город защищен несколькими периметрами стен, это не значит, что достаточно одного периметра.

Выглядит, как что-то труднодоступное для понимания.

Это мой главный вопрос: как такое уродство вообще можно было придумать. На весь лор тут было всего три человека которые действительно понимали selinux.

Я вижу тут заговор.

написание своей политики как-нибудь описано?

Тонны мануалов на сайте rh и в инете. Но от этого проще не становится.

Короче, я всё понял: оно такое сложное сделано чтобы люди его отключали. Я серьёзно, ни один из наших клиентов не мог справится с этим selinux. Вечно были проблемы с панелями управления, сайтами итп. В результате а) при первых же проблемах его отключали б) во многих инструкциях к платному ПО сказано «отключайте selinux». Вот такой вот хитрый план.

Для сравнения: apparmor тупо можно и не учить, достаточно посмотреть на конфиге. Но, он, увы, менее гибок и не без косяков. Не знаю как сейчас, а раньше нельзя было, например, процессу читать /proc/<свой пид>/. Хотя, /proc/self сделать можно было.

дык мало того, что там ещё и другие системы мандатного контроля впилили, несколько лет назад. Например японские TOMOYO, SAKURA и прочее.

Как я понимаю, единственная альтернатива-Tomoyo? Аpparmor не впечатлил, Grsecurity-вообще не то.

А зачем SeLinux для обычной жизни? Это же фактически интеграция в ядро схем и методик ограничения доступа, которые приняты в системах гос.безопасности, которые в свою очередь нужны для обеспечения ограничения доступа в уже работающих «социальных» системах (коллективах, службах).

А зачем SeLinux для обычной жизни?

На системах с selinux процентов 70-80% эксплоитов не работают. В самом selinux тоже находили дырки, но, в целом, с т.з. безопасности, пользы гораздо больше чем вреда.

А в QNX их еще меньше, а в Minix вообще ни один из них ничего работать не будет. Риск реального заражения действительно такой высокий, что selinux нужен? И речь идет действительно о SeLinux или может быть о PaX (который к нему никакого отношения не имеет)?

Риск реального заражения действительно такой высокий, что selinux нужен?

Риск есть. Высокий он или нет — решать тебе.

речь идет действительно о SeLinux

Да.

единственная альтернатива-Tomoyo?

Я с ней практически не знаком и никогда не ставил. Но, мне кажется, они все разные по набору фич.

Аpparmor не впечатлил

Почему? Впрочем, мне самому оно не очень нравится, но оно работает.

И все разрабы его тупо отключают :D

Я с ней практически не знаком и никогда не ставил. Но, мне кажется, они все разные по набору фич.

Они идеологически разные. Tomoyo, в отличие от SeLinux, завязан на пути к файлам, поэтому без дополнительной защиты его политики можно обойти (например при помощи mount -o bind). Но мне он показался проще и удобнее, менее громоздким. К тому же, позволяет не писать политики, а генерировать их в режиме обучения.

завязан на пути к файлам

Это, имхо, не делает их идеологически разными.

его политики можно обойти (например при помощи mount -o bind)

Можно конкретный пример сценария как это эксплуатировать? Потому что mount может сделать только рут. Если у тебя увели «полного рута» (не ограниченного ничем) то тут уже ничто не поможет.

Потом, нормальный профиль запрещает читать всё кроме того что нужно.

генерировать их в режиме обучения.

По-моему, щас все так умеют. Что selinux, что apparmor, что tomoyo.

Можно конкретный пример сценария как это эксплуатировать?

Конкретных примеров нет, но теоретически возможно.

Если у тебя увели «полного рута» (не ограниченного ничем) то тут уже ничто не поможет.

MAC для того и существует, чтобы можно было ограничить даже рута, иначе было бы достаточно простого разграничения прав по пользователям и группам.

Потом, нормальный профиль запрещает читать всё кроме того что нужно.

Верно, поэтому я и написал:

без дополнительной защиты

генерировать их в режиме обучения.

По-моему, щас все так умеют. Что selinux, что apparmor, что tomoyo.

Возможно, давно не мониторил.

можно было ограничить даже рута

Так можно же. apparmor это умеет.

Так можно же. apparmor это умеет.

Где ты увидел противоречие? И apparmor в этом не уникален — любая система MAC это может.

Это, имхо, не делает их идеологически разными.

«Контекст vs метаданные (path)» это как раз и есть разная идеалогия. Контекст предоставляет новый уровень абстракции, пожтому он более гибкий, но достоинство это или нет — зависит от ситуации. Ключевой недостаток ограничений на основе путей это то, что правила требуется дополнять при копировании объекта. Но все зависит от квалификации мастера.