Хорошая статья, спасибо

Как SELinux или любая другая система контроля доступа помогает в борьбе со скрытыми каналами?

С помощью скрытого канала можно передавать информацию с любого на любой уровень и сам по себе SELinux тут не поможет.

Можно только выявлять подозрительные программы, которые такой скрытый канал организуют

По ссылке ходил, IBM за присвоение контента после его перевода осуждаю (с)

И как же это выявить? С помощью SELinux?

>И как же это выявить? С помощью SELinux?

отстань, унылый троль... selinux не для этого

>И как же это выявить? С помощью SELinux? Например, вот это:

https://www.pgpru.com/forum/kriptografija/jitterbugskejjloggerinovyjjskrytyjj...

вообще программно не отловишь.

Зачётная статья, всегда хотел прочитать что-нибудь более или менее понятное про SELinux. Во всем, что я видел до этого -- какое-то глубоко затеоретизированное говно.

+100

> killall -9 yum-updatesd

Жееесть. Ну и садисты. Нет чтобы service yum-updatesd stop сказать, обязательно killall, так еще и -9 зачем-то. Незачот.

> Как SELinux или любая другая система контроля доступа помогает в борьбе со скрытыми каналами?

О каких каналах идет речь, пример можно?

>О каких каналах идет речь, пример можно?

о тех, которые хрен отловишь... там ссылка есть, можешь прочитать про один из таких... там информация передаётся через задержки отдачи пакетов в сеть.

для российских реалий проще подкупить исполнителя

Чем это лучше PAM?

Чем Ереван!

> Чем это лучше PAM?

Чем арбуз лучше отвёртки?

Это не замена PAM, не конкурент и не альтернативное решение. PAM для аутентификации, то есть для того чтобы пользователь показывал кто он есть. А SELinux для ограничения прав пользователя.

> https://www.pgpru.com/forum/kriptografija/jitterbugskejjloggerinovyjjskrytyjj.. .

интересная статья, спасибо за ссылку.

> вообще программно не отловишь.

// wbr

>Чем это лучше PAM? >iZEN * (*) (13.03.2008 17:12:40)

O! БЗДуны подтянулись. Что, и этого БЗДя не умеет?

Во BSD'е есть реализация RSBAC. По сути это почти тоже самое. Только там нет готовых ruleset'ов как в Fedora/RHEL. Т.е. это невозможно использовать. BSD'уны сосут. А насчет selinux - мне он много много раз помог когда на апачевском хостинге пионеры лезли. Теперь и не знаю как без него.

Хорошая статья, грамотная, специально для виндофиликов, утверждающих, что в linux нет механизма прав доступа на основе ролей и политик безопасности;)

>Во BSD'е есть реализация RSBAC. По сути это почти тоже самое. Только там нет готовых ruleset'ов как в Fedora/RHEL. Т.е. это невозможно использовать. BSD'уны сосут. А насчет selinux - мне он много много раз помог когда на апачевском хостинге пионеры лезли. Теперь и не знаю как без него. anonymous (*) (13.03.2008 18:42:19)

По-моему SElinux имеется и для BSD.

А для linux есть и другие альтернативные технологии.

У FreeBSD искароппки есть уровни безопасности.

>Чем это лучше PAM?

Pam-модули вроде нужно для каждой программы писать. Не так удобно.

>У FreeBSD искароппки есть уровни безопасности.

Здесь тоже типа искароппки:)

В Mandriva 2006 и 2007(октябрь 2005г.) RSBAC было искаропки на ядрах 2.6.12-2.6.17. Жестокая штука. Поначалу отключал в конфиге по недоумию, а когда разобрался - целенаправленно(desktop). Как я понял, позволяет ограничивать права root и создавать пользователя с более высокими, чем root, привелегиями, т.н. "офицера безопасности".

Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD, есть MAC, RBAC вообще не какого отношения не имеет к PAM, оно скорее опонент sudo, если их вообще можно сравнить, причём реализаций RBAC для Linux несколько, есть RBAC от grsecurity, а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;)

> В Mandriva 2006 и 2007(октябрь 2005г.) RSBAC было искаропки на ядрах 2.6.12-2.6.17. Жестокая штука. Поначалу отключал в конфиге по недоумию, а когда разобрался - целенаправленно(desktop). Как я понял, позволяет ограничивать права root и создавать пользователя с более высокими, чем root, привелегиями, т.н. "офицера безопасности".

Не RSBAC, а RBAC только, можно и такое делать, в Solaris 10 вообще пользователя root можно зделать ролью в RBAC, плюс к этому, есть дофига и ещё тележка готовых профилей, из каропки...:)

>RBAC

Может я что-то путаю, но разве оно не RSBAC называется?

>> RBAC

> Может я что-то путаю, но разве оно не RSBAC называется?

RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

>RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

Значит новость нужно все-таки поправить?

>> RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

> Значит новость нужно все-таки поправить?

Нет. RBAC - это еще и общий термин, Role-Based Access Control. Поправить надо мозги кому-то в Sun, кто решил сделать это названием продукта.

>Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD

По-моему SElinux это просто название технологии, она во всех осях так называется.

Ну, как всегда.. По поверхностям пробежались.. Впрочем, это, всё же, лучше, чем ничего..

> У FreeBSD искароппки есть уровни безопасности.

У Linux одно время были BSD securelevel через LSM искаропки. Затем их выкинули. SELinux гораздо мощнее securelevels.

> а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;)

В Debian.

$ grep -ri selinux /boot/config-2.6.18-6-686 CONFIG_SECURITY_SELINUX=y CONFIG_SECURITY_SELINUX_BOOTPARAM=y CONFIG_SECURITY_SELINUX_BOOTPARAM_VALUE=0 CONFIG_SECURITY_SELINUX_DISABLE=y CONFIG_SECURITY_SELINUX_DEVELOP=y CONFIG_SECURITY_SELINUX_AVC_STATS=y CONFIG_SECURITY_SELINUX_CHECKREQPROT_VALUE=1 # CONFIG_SECURITY_SELINUX_ENABLE_SECMARK_DEFAULT is not set

Только не активировано по умолчанию, т.к. заипешься перенастраивать правила. Шаг вправо или влево selinux заблокирует нафиг.

> По-моему SElinux это просто название технологии, она во всех осях так называется.

Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.

> RBAC - это для Соляриса, RSBAC - для Линукса (rsbac.org).

Стоп, но RSBAC - это фреймворк реализующий RBAC модель, ведь так?? Но ведь её реализует ещё SELinux и grsecurity, соотвественно, RSBAC это просто один из фреймворков, а называеться дли Linux оно так же, RBAC, как и для всех остальных, так же оно завёться и в HP-UX, соотвестенно, таки новость правильная, и к фреймворку RSBAC не какого отношения не имеет...:)

З.Ы. Или я не прав??:-\

>>Использование Fedora Core 8

Fedora Core 8 не существует.

>Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.Не болтай чуши, анонимус. SELinux для Linux. Название технологии - Role-Based Access Control, ролевая политика доступа.

Ты путаешь.

Вот почитай: http://www.ibm.com/developerworks/ru/library/selinux/index.html

"Конкуренцию SELinux может составить проект RSBAC, реализующий мандатный и ролевой механизмы доступа." Это судя по всему конкурирующая технология.

SElinux - название технологии. А sebsd - название порта SElinux под bsd.

>Ох уж эти анонимы, конечно именно SELinux, во FreeBSD нет, если кто-то не понимает почему, тогда клиника, есть SEBSD, есть MAC, RBAC вообще не какого отношения не имеет к PAM, оно скорее опонент sudo, если их вообще можно сравнить, причём реализаций RBAC для Linux несколько, есть RBAC от grsecurity, а где ещё у Вас SELinux из каропки кроме RHEL/Fedora, может в Debian??;) ZANSWER (*) (13.03.2008 20:15:35)

Вот: "SELinux (англ. Security-Enhanced Linux — Linux с улучшенной безопасностью) — реализация системы принудительного контроля доступа, которая может работать параллельно с классической дискреционной системой контроля доступа. Входит в стандартное ядро Linux". В стандартные ядра 2.6 входит.