LINUX.ORG.RU

Безопасный Linux : Часть первая. AppArmor – песочница для приложений

 ,


0

0

В серии статей мы рассмотрим систему AppArmor, реализующую другой – менее популярный, но более мощный – принцип: «запрещено все, что не разрешено явно». В первом материале серии мы дадим только основные сведения об этой замечательной разработке. В последующих – остановимся на работе с AppArmor подробнее, а также рассмотрим другие средства обеспечения безопасности, такие как SELinux.

>>> Подробности

как нельзя вовремя, в то время как почти везде от AppArmor уже отказались
даже в OpenSuse, которая там приводится в примерах

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

>в то время как почти везде от AppArmor уже отказались
Ubuntu, openSUSE, SLE.
>даже в OpenSuse

Пруф?
SELinux добавили как опциональную возможность.

Deleted
()
Ответ на: комментарий от Deleted

Блин, новость уже и тут, везде уже разосрали

nutz ★★
()

Контейнеры Solaris куда совершеннее. Если сравнивать SELINUX/APPARMOR и то что мы видим в настоящем UNIX, то сразу становится понятно - о местах со сверхсекурностью линуксу не бывать еще как минимум десятилетие, а как максимум до конца своих дней.

Нет я конечно не исключаю что кто-нибудь возьмется создавать прямой порт контейнеров solaris под свободной лицензией, но сегодня это даже звучит смешно.

Texman
()
Ответ на: комментарий от Texman

> Нет я конечно не исключаю что кто-нибудь возьмется создавать прямой порт контейнеров solaris под свободной лицензией, но сегодня это даже звучит смешно.

o.0 ты ничего не попутал ?

phasma ★☆
()
Ответ на: комментарий от af5

Вы видите бред там где его нет. Мания?

Я лишь хотел сказать что вся эта связка "защиты" которой сегодня обвешивают linux(будь-то xen, selinux) никогда не будет смотреться так элегантно как зоны реализованные в solaris.

Texman
()
Ответ на: комментарий от Rem

А что в мире GNU/Linux принято выбирать между двумя критическими понятиями? Насколько я знаю нет. Иначе и графические среды в linux были бы представлены в единственном числе. Однако благодаря тому что механизмы защиты в solaris/bsd заранее разрабатываются так чтобы дополнять друг друга, а в Linux кое-как, мы не можем наблюдать здесь хорошей слаженности.

Texman
()
Ответ на: комментарий от dimon555

>поправил
не, если бы он про RBAC сказал - тогда да, троль, а про "уникальность" солярных зон, ну какой же это троль...

af5 ★★★★★
()
Ответ на: комментарий от Texman

Клоун, открой для себя Solaris Security Toolkit

oc
()
Ответ на: комментарий от Texman

> вся эта связка "защиты" которой сегодня обвешивают linux(будь-то xen, selinux)

> xen

Чоооооо?! O_O

liksys ★★★★
()
Ответ на: комментарий от phasma

>AppArmor не нужен. Обновил убунту из-за него перестал запускаться MySQL

Хотел было написать "а причём здесь apparmor", но увидел серую звезду и передумал :)

Gary ★★★★★
()
Ответ на: комментарий от Texman

Где контейнеры, а где мандатная модель контроля доступа. И эта, man OpenVZ.

Zenom ★★★
()

IMHO - chroot + selinux достаточно для паранойи и волосы остаются шелковистыми

p.s. другое дело, что selinux плохо относится к неосиляторам и они ему ставят хорошо если permissive, про mls (Multi Level Security protection) молчу...

p.p.s для не Ъ про mls на русском - http://www.linuxshare.ru/docs/security/selinux/selinux2.html

real_maverick ★★★
()
Ответ на: комментарий от phasma

> Обновил убунту из-за него перестал запускаться MySQL

С какой до какой версии, если не секрет?

А вообще:

sudo aa-complain /path/to/mysqld

при условии, что пакет apparmor-utils установлен.

А вообще очень хорошо читать README-файлы:

* APPARMOR PROFILE
==================
If your system uses apparmor, please note that the shipped enforcing profile works with the default installation, and changes in your configuration may require changes to the installed apparmor profile. Please see https://wiki.ubuntu.com/DebuggingApparmor before filing a bug against this software.

sjinks ★★★
()
Ответ на: комментарий от Gary

>Хотел было написать "а причём здесь apparmor", но увидел серую звезду и передумал :) Ну какбэ там в пакете есть профиль apparmor. Надо разбираться почему в конкретном случае вызвало проблему. Обычно достаточно профиль программы подправить. И, кстати, Apparmor is not discontinued. It is being actively developed, is close to being in the upstream kernel and is supported by Ubuntu. (https://bugs.launchpad.net/ubuntu/+source/mysql-dfsg-5.0/+bug/306541 )

netwind
()
Ответ на: комментарий от sjinks

> С какой до какой версии, если не секрет?

9.10 просто поставил апдейты.

> при условии, что пакет apparmor-utils установлен.


уже нет, оно мне не нужно.

phasma ★☆
()
Ответ на: комментарий от netwind

> кстати, Apparmor is not discontinued. It is being actively developed, is close to being in the upstream kernel and is supported by Ubuntu

Только этот коммент был написан в марте, но с тех пор ничего собственно говоря не изменилось :). AppArmor даже 2.6.29 еще не подерживает. А уже 2.6.31 на дворе...

McGray ★★
()
Ответ на: комментарий от McGray

> AppArmor даже 2.6.29 еще не подерживает. А уже 2.6.31 на дворе...

Стоит Ubuntu Karmic с 2.6.31, AppArmor 2.3.1+1403-0ubuntu13, все работает. Что не так?

sjinks ★★★
()
Ответ на: комментарий от Poh

> Где взять готовый базовый конфиг для защиты виртхостинга?

AppArmor «защищает» приложения, для которых имеются профили. То есть фактически Вам нужно создать профили для всех выполняющихся на сервере приложений.

Базовые профили устанавливаются пакетом apparmor-profiles. Для их настройки поможет aa-genprof/aa-logprof.

sjinks ★★★
()
Ответ на: комментарий от McGray

> Только этот коммент был написан в марте, но с тех пор ничего собственно говоря не изменилось :). AppArmor даже 2.6.29 еще не подерживает. А уже 2.6.31 на дворе...

И тем не менее, к моменту выхода ubuntu 9.04 все работало. Судя по всему, в 9.10 все тоже будет работать.

netwind
()
Ответ на: комментарий от bohm

> не нужно на бета версии жаловаться

9.10 это, емнип, даже еще и не бета а альфа.

isden ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.