LINUX.ORG.RU

Управление доступом на основе ролей в SELinux

 , rbac,


0

0

Управление доступом на основе ролей (RBAC) – это общая модель обеспечения безопасности, которая упрощает администрирование путём назначения ролей пользователям и установки разрешений для этих ролей. RBAC в Linux с повышенной степенью безопасности (SELinux) действует как уровень абстракции между пользователем и лежащей на более низком уровне моделью type-enforcement, которая обеспечивает более точное управление доступом, но не ориентирована на простоту управления. В этой статье вы узнаете о том, как совместная работа трёх элементов контекста SELinux (политика, ядро и пространство пользователя) реализует RBAC и связывает пользователей Linux с политикой TE.

>>> Подробности

★★★

Проверено: Shaman007 ()

Как SELinux или любая другая система контроля доступа помогает в борьбе со скрытыми каналами?

i82 ★★
()
Ответ на: комментарий от i82

С помощью скрытого канала можно передавать информацию с любого на любой уровень и сам по себе SELinux тут не поможет.

Можно только выявлять подозрительные программы, которые такой скрытый канал организуют

anonymous
()

По ссылке ходил, IBM за присвоение контента после его перевода осуждаю (с)

anonymous
()
Ответ на: комментарий от i82

>И как же это выявить? С помощью SELinux?

отстань, унылый троль... selinux не для этого

anonymous
()

Зачётная статья, всегда хотел прочитать что-нибудь более или менее понятное про SELinux. Во всем, что я видел до этого -- какое-то глубоко затеоретизированное говно.

localstorm
()

> killall -9 yum-updatesd

Жееесть. Ну и садисты. Нет чтобы service yum-updatesd stop сказать, обязательно killall, так еще и -9 зачем-то. Незачот.

anonymous
()
Ответ на: комментарий от i82

> Как SELinux или любая другая система контроля доступа помогает в борьбе со скрытыми каналами?

О каких каналах идет речь, пример можно?

anonymous
()
Ответ на: комментарий от anonymous

>О каких каналах идет речь, пример можно?

о тех, которые хрен отловишь... там ссылка есть, можешь прочитать про один из таких... там информация передаётся через задержки отдачи пакетов в сеть.

для российских реалий проще подкупить исполнителя

anonymous
()
Ответ на: комментарий от iZEN

Чем Ереван!

> Чем это лучше PAM?

Чем арбуз лучше отвёртки?

Это не замена PAM, не конкурент и не альтернативное решение. PAM для аутентификации, то есть для того чтобы пользователь показывал кто он есть. А SELinux для ограничения прав пользователя.

Camel ★★★★★
()
Ответ на: комментарий от anonymous

Во BSD'е есть реализация RSBAC. По сути это почти тоже самое. Только там нет готовых ruleset'ов как в Fedora/RHEL. Т.е. это невозможно использовать. BSD'уны сосут. А насчет selinux - мне он много много раз помог когда на апачевском хостинге пионеры лезли. Теперь и не знаю как без него.

anonymous
()

Хорошая статья, грамотная, специально для виндофиликов, утверждающих, что в linux нет механизма прав доступа на основе ролей и политик безопасности;)

anonymous
()
Ответ на: комментарий от anonymous

>Во BSD'е есть реализация RSBAC. По сути это почти тоже самое. Только там нет готовых ruleset'ов как в Fedora/RHEL. Т.е. это невозможно использовать. BSD'уны сосут. А насчет selinux - мне он много много раз помог когда на апачевском хостинге пионеры лезли. Теперь и не знаю как без него. anonymous (*) (13.03.2008 18:42:19)

По-моему SElinux имеется и для BSD.

anonymous
()
Ответ на: комментарий от iZEN

>Чем это лучше PAM?

Pam-модули вроде нужно для каждой программы писать. Не так удобно.

anonymous
()

В Mandriva 2006 и 2007(октябрь 2005г.) RSBAC было искаропки на ядрах 2.6.12-2.6.17. Жестокая штука. Поначалу отключал в конфиге по недоумию, а когда разобрался - целенаправленно(desktop). Как я понял, позволяет ограничивать права root и создавать пользователя с более высокими, чем root, привелегиями, т.н. "офицера безопасности".

gearbox
()
Ответ на: комментарий от anonymous

Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD, есть MAC, RBAC вообще не какого отношения не имеет к PAM, оно скорее опонент sudo, если их вообще можно сравнить, причём реализаций RBAC для Linux несколько, есть RBAC от grsecurity, а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;)

ZANSWER
()
Ответ на: комментарий от gearbox

> В Mandriva 2006 и 2007(октябрь 2005г.) RSBAC было искаропки на ядрах 2.6.12-2.6.17. Жестокая штука. Поначалу отключал в конфиге по недоумию, а когда разобрался - целенаправленно(desktop). Как я понял, позволяет ограничивать права root и создавать пользователя с более высокими, чем root, привелегиями, т.н. "офицера безопасности".

Не RSBAC, а RBAC только, можно и такое делать, в Solaris 10 вообще пользователя root можно зделать ролью в RBAC, плюс к этому, есть дофига и ещё тележка готовых профилей, из каропки...:)

ZANSWER
()
Ответ на: комментарий от tailgunner

>RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

Значит новость нужно все-таки поправить?

anonymous
()
Ответ на: комментарий от anonymous

>> RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

> Значит новость нужно все-таки поправить?

Нет. RBAC - это еще и общий термин, Role-Based Access Control. Поправить надо мозги кому-то в Sun, кто решил сделать это названием продукта.

tailgunner ★★★★★
()
Ответ на: комментарий от ZANSWER

>Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD

По-моему SElinux это просто название технологии, она во всех осях так называется.

anonymous
()

Ну, как всегда.. По поверхностям пробежались.. Впрочем, это, всё же, лучше, чем ничего..

MiracleMan ★★★★★
()
Ответ на: комментарий от iZEN

> У FreeBSD искароппки есть уровни безопасности.

У Linux одно время были BSD securelevel через LSM искаропки. Затем их выкинули. SELinux гораздо мощнее securelevels.

anonymous
()
Ответ на: комментарий от ZANSWER

> а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;)

В Debian.

$ grep -ri selinux /boot/config-2.6.18-6-686 CONFIG_SECURITY_SELINUX=y CONFIG_SECURITY_SELINUX_BOOTPARAM=y CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0 CONFIG_SECURITY_SELINUX_DISABLE=y CONFIG_SECURITY_SELINUX_DEVELOP=y CONFIG_SECURITY_SELINUX_AVC_STATS=y CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1 # CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULT is not set

Только не активировано по умолчанию, т.к. заипешься перенастраивать правила. Шаг вправо или влево selinux заблокирует нафиг.

anonymous
()
Ответ на: комментарий от anonymous

> По-моему SElinux это просто название технологии, она во всех осях так называется.

Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.

anonymous
()
Ответ на: комментарий от tailgunner

> RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

Стоп, но RSBAC - это фреймворк реализующий RBAC модель, ведь так?? Но ведь её реализует ещё SELinux и grsecurity, соотвественно, RSBAC это просто один из фреймворков, а называеться дли Linux оно так же, RBAC, как и для всех остальных, так же оно завёться и в HP-UX, соотвестенно, таки новость правильная, и к фреймворку RSBAC не какого отношения не имеет...:)

З.Ы. Или я не прав??:-\

ZANSWER
()
Ответ на: комментарий от ZANSWER

>>Использование Fedora Core 8

Fedora Core 8 не существует.

anonymous
()
Ответ на: комментарий от anonymous

>Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.

Ты путаешь.

Вот почитай: http://www.ibm.com/developerworks/ru/library/selinux/index.html

"Конкуренцию SELinux может составить проект RSBAC, реализующий мандатный и ролевой механизмы доступа." Это судя по всему конкурирующая технология.

anonymous
()
Ответ на: комментарий от anonymous

SElinux - название технологии. А sebsd - название порта SElinux под bsd.

anonymous
()
Ответ на: комментарий от ZANSWER

>Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD, есть MAC, RBAC вообще не какого отношения не имеет к PAM, оно скорее опонент sudo, если их вообще можно сравнить, причём реализаций RBAC для Linux несколько, есть RBAC от grsecurity, а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;) ZANSWER (*) (13.03.2008 20:15:35)

Вот: "SELinux (англ. Security-Enhanced Linux — Linux с улучшенной безопасностью) — реализация системы принудительного контроля доступа, которая может работать параллельно с классической дискреционной системой контроля доступа. Входит в стандартное ядро Linux". В стандартные ядра 2.6 входит.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.