велосипедостроение

>AppArmor

нехватает сравнения его с оналагами в плане качества и скорости работы. И как на попытку реагирует сообщество?

скажите необразованому, зачем нужен этот лисапед? не проще ли прикрутить как надстройку над SELinux (с карточными играми и девушками легкого поведения?)

чорд, не успел

грамар наци, прости: с аналогами

грамар наци, прости: с аналогами

шаманалогами!

>скажите необразованому, зачем нужен этот лисапед?

ну как бы selinux вот я не осилил, а apparmor у меня работает. но таки tomoyo выглядит по документации лучше аппармора...

Компания Canonical повторила попытку интегрировать AppArmor в основное Linux ядро

И чё им там сказали?)

Объясните темному, зачем вообще нужен селинукс. Не влане что он делает, а в плане являются ли его действия такими уж полезными.

> Linux ядро

Linux ядро

Не шаман©, но все равно.

Закопать поделку, подумать хорошо и занятся вплотную доработкой SELinux. Сколько можно труп воскрешать? =\

сообщество реагирует негативно, свой кактус пусть жрут сами. Кому нужно тот накатит патч.

параноики и те, кому действительно нужна нужна безопасность, будут использовать SELinux. а зачем дополнительные уровни безопасности хомячкам, я вообще ума не приложу (только CPU тратить)

А где сравнение? без него некавайно

>Объясните темному, зачем вообще нужен селинукс. Не влане что он делает, а в плане являются ли его действия такими уж полезными.

Полезно держать на серверах. За счет гибкости в настройке позволит приложениям и пользователям делать только то, что им разрешил. Применений масса.

Пример - берем процесс apache, прав доступа у него по умолчанию больше чем достаточно. Ограничиваем возможность чтения чужих директорий, ограничеваем возможность чтения файлов и /tmp и записи туда.

Также полезно держать на рабочих станциях в рамках предприятия/компании.
Ограничить пользователя только в рамках того, что ему действительно нужно.

Пример - ограничить процессу Firefox возможность читать только те файлы, которых ему достаточно для работы и ограничить возможность записи только туда куда надо. Что это дает? Возможность спокойно хранить файлы с пассами рута от серверов и лазить по пр0н-сайтам :)

>нехватает сравнения его с оналагами в плане качества

Да уже неоднократно говорилось, что apparmor привязывается к именам файлов, и при помощи хардлинков обходится на раз-два.

По скорости, полагаю, существенных различий нет. В любом случае затраты времени на проверки MAC обычно пренебрежимо малы по сравнению с прочими.

И как на попытку реагирует сообщество?

Полагаю, сообщество убунты с криком «за родину!» всецело поддержит.
Сообщество разработчиков Linux более разнообразно по своим реакциям, поэтому посмотрим.

> Да уже неоднократно говорилось, что apparmor привязывается к именам файлов, и при помощи хардлинков обходится на раз-два.

Основные претензии сводились к недостаточной совместимости с интерфейсом LSM и излишней привязке к файловому пути вместо реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее замечания и подготовили улучшенный вариант AppArmor, переработанный в плане использования стандартных LSM (Linux Security Modules) хуков (задействовали security_path вместо vfs), что повышает привлекательность патча для включения в основную ветку Linux ядра.

иногда полезно читать,а потом вонять

>Основные претензии сводились к недостаточной совместимости с интерфейсом LSM и излишней привязке к файловому пути вместо реализации через ассоциированные с объектом метки (как в SELinux). Разработчики из проекта Ubuntu учли высказанные ранее замечания и подготовили улучшенный вариант AppArmor, переработанный в плане использования стандартных LSM (Linux Security Modules) хуков (задействовали security_path вместо vfs), что повышает привлекательность патча для включения в основную ветку Linux ядра.

иногда полезно читать,а потом вонять

Феерическая глупость религиозных фанатиков доставляет.

Они лишь немного поменяли структуру вызовов, что слегка улучшило совместимость с LSM.
Привязка к файловым путям как была, так и осталась.

> а зачем дополнительные уровни безопасности хомячкам, я вообще ума не приложу

Правильно! Каждый хомячок должен входить в состав минимум одного ботнета! А Ъ-лоровцы креститься каждый раз при выходе в сеть. А то я смотрю у вас тут все мирно да гладко.

фееричное в своей глупости убеждение доставляет.думаешь то что в коротенькой новости написано - это все?сочувствую.тяжело тебе в жизни будет

Ну попробуй утащить в CentOS через дырку в программе данные из $HOME.

>Ну попробуй утащить в CentOS через дырку в программе данные из $HOME.

В какой программе дырка? В апаче? Так и без селинукса хомяк в безопасности. Или дырка в sshd? и что тут сделает селинукс? libastral в поставку входит?

файрвол не осилил?

>фееричное в своей глупости убеждение доставляет.думаешь то что в коротенькой новости написано - это все?сочувствую.тяжело тебе в жизни будет

Пруф на то, что apparmor сейчас работает на механизме, независимом от путей, либо признание вами того факта, что вы идиот.

Перевод вообще печален.

>apparmor привязывается к именам файлов, и при помощи хардлинков обходится на раз-два.

ага, ну создайте хард-линк, если шелла нет :-) apparmor подходит для серверов, при этом настраивается просто и быстро. еще раз- selinux я не смог осилить, apparmor у меня работает в продуктиве.

Какого гуя SELinux от Python'а зависит?

AppArmor: SELinux для неосиляторов! (c)

>AppArmor: SELinux для неосиляторов!

вообще-то не совсем ;-) selinux для серверов - избыточен, а вот apparmor как раз при наличии у юзеров шелла- бессмысленен. Вы таки думаете почему tomoyo то в ядро втащили при наличии столь замечательного selinux? :-)

>привязке к именам файлов вместо реализации через ассоциированные с объектом метки

Как этим криворуким говнокодерам можно доверить делать такую серьезную вещь, если они даже кеды собрать не могу по-человечески?

>ограничеваем возможность чтения файлов и /tmp и записи туда
а временные файлы скриптам где хранить?

ограничить процессу Firefox возможность читать только те файлы, которых ему достаточно для работы

а если я захочу на сервер файл выложить через браузер?

Пруф на то, что apparmor сейчас работает на механизме, независимом от путей, либо признание вами того факта, что вы идиот.

Ага, а к пруфу, что идиот, линк на скан справочки от врача (-;

>selinux для серверов - избыточен

Это ваше имхо, причем, как мы убедились на примере ваших рассуждений выше, не очень квалифицированное.

Впрочем, вы можете подробно и по пунктам объяснить, какие функции SELinux вы считаете для сервера избыточными и почему.

>Ага, а к пруфу, что идиот, линк на скан справочки от врача (-;

Нет, в то, что у него с головой плохо, я верю безо всяких пруфов.

>ага, ну создайте хард-линк, если шелла нет :-) apparmor подходит для серверов, при этом настраивается просто и быстро. еще раз- selinux я не смог осилить, apparmor у меня работает в продуктиве.

По-вашему, отсутствие возможности шелл-инъекции означает полную безопасность? :D

С вашим уровнем знаний, угроза вхождения вашего сервера в ботнет вполне реальная. Очень надеюсь, что ваш «продуктив» — это домашняя файлопомойка. В противном случае очень сочувствую вашим работодателям.

>а временные файлы скриптам где хранить?

Там где укажешь.

а если я захочу на сервер файл выложить через браузер?

Указываешь директории/типы файлов, к которым у фокса доступ есть и все.

>Там где укажешь.
и чем это будет глобально отличаться от /tmp?

Указываешь директории/типы файлов, к которым у фокса доступ есть и

все.
так я их не знаю заранее. Сегодня мне надо картинку отправить, завтра - кусок скрипта или патч. Один фиг придется разрешать всё.

>вы можете подробно и по пунктам объяснить

нахрена? мое мнение же неквалифицированное :-)

>нахрена? мое мнение же неквалифицированное :-)

Ну, я честно предоставил вам шанс доказать, что вы не глупость сказали.

>Очень надеюсь..

В противном случае очень сочувствую вашим работодателям.

Кхм. Вы таки определитесь- надеетесь или сочувствуете? :-)

И вообще - я, конечно, понимаю, что понты Вас так и распирают, но как бы никаких доказательств Вашей квалификации я не вижу, только указания на низкую мою.

>я честно предоставил вам шанс доказать, что вы не глупость сказали.

естественно глупость- я уж лет 15 как противогаз не ношу :-) вообще, рекомендовал бы Вам не пытаться начинать делать столь резкий переход на личности, какой Вы сделали сейчас.

>и чем это будет глобально отличаться от /tmp?

Тем, что кроме собственных файлов апач никуда не сунется. Апач может создать, прочитать, записать, удалить только файлы от своего процесса (пример, /tmp/httpd-1, /tmp/httpd-2). Но он не может прочитать файл в /tmp с правами в 777, скажем /tmp/readme, созданный другим процессом.

так я их не знаю заранее. Сегодня мне надо картинку отправить, завтра - кусок скрипта или патч. Один фиг придется разрешать всё.

Конечно, так и живут виндузятники - им все разрешено. Безопасность это компромис (с). И в NSA так и сделано, будь ты хоть мегакрутым хацкером, которому дали комп с жестко-настроенным SELinux, то тебе придется отдавать файлы FF только из той директории, которую указал админ. И если вдруг окажется, что ты залил на чужой сервак файл с повышенной уровнем секретности - только ты будешь на 100% уверен, что это твоя вина. А не потому, что нашли очередную дыру, лекарства от которой еще нет.

>я, конечно, понимаю, что понты Вас так и распирают

Как говорится, «по себе людей не судят».

но как бы никаких доказательств Вашей квалификации я не вижу

И мне абсолютно пофиг, что вы думаете о моей квалификации.

Я всего лишь констатирую факт, что вы пишете глупости.

>Я всего лишь констатирую факт, что вы пишете глупости.

ну тогда взаимно. удачи в наездах :-)

>Но он не может прочитать файл в /tmp с правами в 777, скажем /tmp/readme, созданный другим процессом.
как бы пофик, в /tmp сроду ничего конфиденциального не лежало

И если вдруг окажется, что ты залил на чужой сервак файл с повышенной уровнем секретности

я не работаю в разведке :)

Новость оформлена через ЖОПУ.

Где ссылка на первоисточник? Как можно перейти на соответствующее письмо в рассылке разработчиков ядра?

>>Я всего лишь констатирую факт, что вы пишете глупости.

ну тогда взаимно.

Потрудитесь, пожалуйста, доказать.

Мое утверждение было доказано вами как минимум в двух случаях:
1. Когда вы спросили, как сделать хардлинк без шелла. Любой начинающий саппорт, имея лишь FTP и HTTP-доступ в обычному хостинговому серверу с пыхом, прекрасно сделает на нем хардлинк без использования шелла. Предлагаю вам подумать, как :)
2. Когда вы отказались подтверждать обоснованность своего мнения о том, что «selinux для серверов избыточен».

>Новость оформлена через ЖОПУ.

Где ссылка на первоисточник? Как можно перейти на соответствующее письмо в рассылке разработчиков ядра?

Это обычная копипаста. Администрация лора окончательно забила на запрет в отношении копипасты, так что теперь главная лора станет зеркалом опеннета.

> а зачем дополнительные уровни безопасности хомячкам, я вообще ума не приложу

Так именно им и нужы, главное, чтоб просто (лучше - аффтаматически ;)). SELinux это для тех кому нужна безопастность уровня предприятия, но сложность настройки (это обще признано) не позволяет _обычным_ пользователям его использовать и даже интересоваться им. Не стоит говорить, что настроеный с ошибками SELinux (в стремлении потешить свое ЧСВ) может только ухудшить ситуацию. А AppArmor вполне по силам продвинутомудомашнему пользователю.

> apparmor привязывается к именам файлов, и при помощи хардлинков обходится на раз-два.

А в чем проблема тем же AppArmor'ом не разрешать создание жестких ссылок?