у меня на слакваре стоит openwall .. как-то с ним круче!

Кста, кто-нить ставил два патча одновременно?
gresecurity и openwall ?

а для netbsd патчи не нужны!

Объясните, плз, темному, что это и для чего? Просьба не кричать что-то типа "ламер". Сам знаю что так оно по и есть... :) Я с Лялихом тока год работаю. Начинал с полного нуля.

С Лялихом можеш работать и дальше 8E

> Объясните, плз, темному, что это и для чего? Просьба не кричать
> что-то типа "ламер". Сам знаю что так оно по и есть... :) Я с
> Лялихом тока год работаю. Начинал с полного нуля.
Во-первых, тут народ на "лялих" обижаецца.
Во-вторых, ламер ты не потому-что в линуксе недавно, а потому-что поленился сходить на их сайт и почитать, там все подробно написано:
-Role Based Access Control (основаный на ролях доступ [блин, а как менее коряво перевести?])
-Различные аксес-листы
-Более строгий чрут
-Различные рандомизации
-еще всего до задницы...
Это все надо для повышения секьюрности системы. Используецца виртуальными хостерами, параноиками, етц.

а мне вот интересно, почему brad не gzip/bzip2`ит свои патчи?? вместо ~500kb patch выходит ~80kb patch.bz2...

2Del Ты какой язык учил? Я немецкий + русский. Не считая своего родного. Вопросы есть еще? Ща учу английский. Дык до полного понимания еще далеко. А вопросы типа "Вас ист дас patch" тут ваще бурю вызовут.

PS. Работы и без того хватает, чтоб читать еще то, что может понадобиться не сегодня. Я шефу не объясню что вместо того, чтоб сетку переделать с BNC на 100-ку UTP или комп собрать буду доку читать, которая может мне пока и не понадобиться. Потому и спрашиваю у людей что к чему. И ничего зазорного в этом не вижу. Сам стараюсь до всего доходить. Но если что-то не получается - спрашиваю. Что здесь такого? За Лялих - sorry. Теперя будет LINUX. Чтоб вообще ни кого не обидеть :)

Неее, все равно обидишь. Тогда уж надо писать GNU/Linux, но и тогда на всех не угодишь. :0)))

rsbac круче

Openwall & GRsecurity - патчи, повышающие безопасность системы, наиболее интересными "фичами" обоих является запрет на исполнение стека, что делает невозможным использование эксплойтов, основанных на buffer overflow. Два патча наложить нельзя, они патчат одни и те же места. По фичастости лучше grsecurity, но я использую openwall.

2 anonymous (*) (2003-09-11 19:07:46.826367)

Я вот тоже всегда openwall ставил. С grsecurity знаком только понаслышке.
Почему же тогда openwall, если grsecurity фичастее?

просто эти патчи расчитанны под слаку.. вот и всплывает она.

Все таки функциональности патча от openwall вполне вхатает, благо он тормозит работу на несколько проценсов, а не в разы, как ГРсек.

IMHO самая "вкусная" фича grsecurity это

Chroot restrictions ------------------- No attaching shared memory outside of chroot No kill outside of chroot No ptrace outside of chroot (architecture independent) No capget outside of chroot No setpgid outside of chroot No getpgid outside of chroot No getsid outside of chroot No sending of signals by fcntl outside of chroot No viewing of any process outside of chroot, even if /proc is mounted No mounting or remounting No pivot_root No double chroot No fchdir out of chroot Enforced chdir("/") upon chroot No (f)chmod +s No mknod No sysctl writes No raising of scheduler priority No connecting to abstract unix domain sockets outside of chroot Removal of harmful privileges via capabilities Exec logging within chroot

Если нужен только non-executable stack, лучше openwall

А вот для Apache & MySQL внутри chroot jail лучше grsecurity не знаю

а почему такие вещи как запрет исполнения стека не включат в основное ядро?

пс. я как-то возился с hpux что меня порадовало так это возможность вешать флажки на executable - что и как исполнять :)

RBAC в grsecurity? Аж ни разу!

> -Role Based Access Control

Нет его в [стабильной версии] grsecurity.

> Это все надо для повышения секьюрности системы. Используецца
> виртуальными хостерами, параноиками

Не знаю, как виртуальные хостеры, но параноики [:)] пользуют RSBAC или SELinux
[хотя RSBAC JAIL весьма кстати для этих самых хостеров]

>а почему такие вещи как запрет исполнения стека не включат в основное ядро?

Политика - курс на десктоп!

Xfree не живет с неисполняемым стеком (Слышал, что с бубном можно заставить. Сам не пробовал)

>пс. я как-то возился с hpux что меня порадовало так это возможность вешать флажки на executable - что и как исполнять :)

Ставь grsecurity и вешай флажки на исполняемые файлы (gradm + chpax)

RBAC в grsecurity? Аж ни разу!

2 anonymous (*) (2003-09-11 21:42:00.595167)

> А вот для Apache & MySQL внутри chroot jail лучше grsecurity не знаю

RSBAC

>Xfree не живет с неисполняемым стеком (Слышал, что с бубном можно заставить. Сам не пробовал)

ss@xantippe:/usr/src/linux$ grep STACK /usr/src/linux/.config;echo $DISPLAY
CONFIG_HARDEN_STACK=y
CONFIG_HARDEN_STACK_SMART=y
# CONFIG_DEBUG_STACKOVERFLOW is not set
:0.0

Может я чего то делаю не так ;)

Если серьезно то довольно давно _иногда_ былы
проблемы с PaX овским патчем и Java (уже сейчас не вспомню какой версии)

>> А вот для Apache & MySQL внутри chroot jail лучше grsecurity не знаю

>RSBAC

Я говорю про Chroot restrictions, а ты о Rule Set Based Access Control (RSBAC).

IMHO совершенно разные вещи и для разных задач.

Возможно ли реализовать средствами RSBAC, например, Exec logging within chroot?

2sdmitry
>Ща учу английский. Дык до полного понимания еще далеко. А вопросы типа
>"Вас ист дас patch" тут ваще бурю вызовут.
Ну тогда и спрашивайте так: "По буржуйски я не бельмеса, люди добрые расскажите, что такое гырысекьюрити, не дайте помереть дураком!" А то возникаеи впечатление, что задает вопрос ленивый человек, который считает, что все ему должны все объяснять, т.к. читать ему лень. Такие люди раздражают участников форума. Особенно на этом сайте. :)

>PS. Работы и без того хватает, чтоб читать еще то, что может
>понадобиться не сегодня. Я шефу не объясню что вместо того, чтоб сетку
>переделать с BNC на 100-ку UTP или комп собрать буду доку читать,
А вот на английский стоит потратить время, хотя бы до уровня понимания. Всегда пригодиться.

RSBAC logging

2 anonymous (*) (2003-09-11 22:16:25.641881):

> Я говорю про Chroot restrictions, а ты о Rule Set Based Access Control (RSBAC).


1) Ну я ж не даром упомянул RSBAC JAIL.
2) chrooted environments в RSBAC, как правило, излишни.
Можно достичь гораздо большего, используя RC

> IMHO совершенно разные вещи

Конечно. grsecurity vs RSBAC ~ лобзик vs пилорама :)

> и для разных задач.

А вот цель одна и та же -- более-менее приемлемая модель безопасности,
а не убожество rwxrwxrwx.

> Возможно ли реализовать средствами RSBAC, например, Exec logging within chroot?

attr_set_fd GEN FD log_program_based 0000000001000000000000000000000000010000000000 /program/under/question

( все запросы EXECUTE и MAP_EXEC, которые делает программа, будут записываться )

>attr_set_fd GEN FD log_program_based

Не важно каким образом, внутри chroot появляется посторонняя программа, естественно без установленных attr. Будут ли протоколироваться ее действия?

А вот с grsec - будут!

(Я не говорю, что и в RSBAC и в grsecurity такая программа вообще не должна запуститься - просто илюстрация принципиальных различий)

>grsecurity vs RSBAC ~ лобзик vs пилорама

Красивое сравнение :-) инструмент для точной/художественной обработки vs поточная распиловка

RSBAC vs grsecurity

2 anonymous (*) (2003-09-12 14:13:25.864572):

>Не важно каким образом, внутри chroot появляется посторонняя
> программа,

Не сказал бы, что это не важно.

> естественно без установленных attr.

Нет, с установленными. RSBAC attributes наследуются.
( вроде бы и grsec attributes тоже, или я чего-то путаю? ).
А chooted daemon'-у не дают прав MODIFY_ATTRIBUTE и ACCESS_CONTROL

> Будут ли протоколироваться ее действия?

1) Да ( по причине наследования ).

2) А этим вообще можно не заморачиваться -- разрешить
EXECUTE и MAP_EXEC только по отношению к определенным файлам,
и запретить ко всему остальному; для полноты картины еще надо
запретить IPC по аналогичному принципу ( собственно, поэтому
chrooted environment -- почти всегда излишество )

> Я не говорю, что и в RSBAC и в grsecurity такая программа вообще
> не должна запуститься

Начнем с того, что она там не должна появиться.

> >grsecurity vs RSBAC ~ лобзик vs пилорама

> Красивое сравнение :-) инструмент для точной/художественной
> обработки vs поточная распиловка

Я имел в виду немного не то -- кустарная обработка vs промышленная технология. ( более правильное и красивое сравнение -- стрела vs
баллистическая ракета )

>кустарная обработка vs промышленная технология

Убедительно и подробно.

Посмотрю внимательно RSBAC, может и переползу на него

Спасибо!

2 Dselect

Если не сложно, могли бы подсказать как много времени уходит на "промышленное" освоение RSBAC? Года полтора все присматриваюсь, а в руки взять все времени нехватает.. :))

а вот такой вопрос:
не подскажите какие вообще такие security enhancement патчи существуют?
Owl, GRSec, RBAC... пока это все что я знаю.
если есть ссылка на какой нибудь список этого добра буду очень признателен!

>если есть ссылка на какой нибудь список этого добра буду очень признателен!

http://www.linux-sec.net/Harden/kernel.gwif.html

про освоение RSBAC

2 Alter:

> Если не сложно, могли бы подсказать как много времени уходит на
> "промышленное" освоение RSBAC

Если все делать правильно -- недели две ( по крайней мере,
хватит, чтоб разобраться с основными модулями -- AUTH, RC,
ACL, CAP )

А что правда, что grsec замедляет систему в разы?!

ну и шуточки...

2 anonymous (*) (2003-09-15 12:10:23.663453)

> А что правда, что grsec замедляет систему в разы?!

Мягко говоря, бред это.

2Dselect
>> А что правда, что grsec замедляет систему в разы?!

>Мягко говоря, бред это.

Ты-ж постом выше сказал что чтобы только _разобраться_
нужно "две недели" ;)))

>если есть ссылка на какой нибудь список этого добра буду очень признателен!

http://www.linux-sec.net/Harden/kernel.gwif.html

Я только чего то сходу там не нашел ссылок на User Mode Linux
Добавим ссылочку
http://user-mode-linux.sourceforge.net/

ну и шуточки...

> чтобы только _разобраться_ нужно "две недели" ;)))

Дык разбираться не система ж будет :)

Спасибо большое, будем разбираться..

2Dselect: А где можно хорошенько почитать об RSBAC (желательно на русском) с теорией и непосредственно с практикой? Спасибо.

что почитать про RSBAC

> А где можно хорошенько почитать об RSBAC (желательно на русском)

На http://www.rsbac.org/documentation.htm , вестимо :)

Документация на русском, похоже, не существует в природе
(собственно, я и не особо искал), за исключением

http://linux.ru.net/~inger/RSBAC-DOC-ru.html.

( но это в стиле "Windows for dummies" )

Даже и на английском документации не так много,как хотелось бы.

Весьма полезная статья ( описанная модель лежит в основе RSBAC ):

"Rule-Set Modeling of a Trusted Computer System", Leonard J. LaPadula

in "Information Security: An Integrated Collection of Essays" (IEEE Computer Society Press Los Alamitos, California, USA); Edited by Marshall D. Abrams,
Sushil Jajodia, Harold J. Podell

( on-line version: http://www.acsac.org/secshelf/book001/book001.html )