LINUX.ORG.RU

AppArmor и YAMA собираются включить в ядро Linux 2.6.36

 , yama, ,


0

1

Джеймс Моррис (James Morris), куратор разработки системы безопасности Linux, сообщил, что патчи, обеспечивающие поддержку AppArmor и Yama, поставлены в очередь на включение в основную ветку ядра Linux и должны войти в ядро 2.6.36.

AppArmor — система безопасности мандатного контроля доступа (MAC) для Linux, основанная на профилях, позволяющих ограничить доступ программы к определенному набору файлов, привилегий, использованию ресурсов и сети. Разработан компанией Immunix, затем после приобретения последней Novell был открыт под лицензией GNU GPL и включён в OpenSUSE. Со временем разработка AppArmor затихла; в 2008 году Рассел Кокер (Russel Coker), один из авторов SELinux, высказал мнение, что AppArmor бесперспективен.

В последнее время поддержкой AppArmor занимался разработчик Canonical Джон Йохансен (John Johansen), он же работает над включением AppArmor в состав ядра Linux.

Помимо AppArmor, в очереди на включение присутствует модуль безопасности YAMA, разработанный Canonical.

>>> Подробности

★★★

Проверено: maxcom ()
Ответ на: комментарий от farafonoff

> ты веришь что rwx достаточно?

Достаточно для чего? Для моих нужд достаточно, для других - может быть и недостаточно.

Кстати, сколько видов доступа к файлам есть в Win32?

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

Чтение/запись, чтение, системный (никто не может обращаться). Вроде так, если не ошибаюсь.

X10Dead ★★★★★
()
Ответ на: комментарий от northerner

В отличие от много другого, система, подобная AppArmor _должна_ быть в ядре.
Чем AppArmor лучше SELinux? Зачем вообще AppArmor в ядре, если в нём уже есть SELinux?

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Lumi

Ахха

Особенно подчеркивает ненужность бубунты и каноникала вообще дистровотч.ком

Лютая, бешеная ненужность.

wherecat
()
Ответ на: комментарий от hobbit

>Теперь из МСВС выкинут __свои мандатные костыли__ и будут пользоваться ванильными?


слишком толсто

dimon555 ★★★★★
()
Ответ на: комментарий от northerner

>В отличие от много другого, система, подобная AppArmor _должна_ быть в ядре.

Она уже там с 2.6.30. Называется TOMOYO2. По простоте настройки не уступает AppArmor'у, а по полезным плюшкам — уделывает его.

Так что в ядро благополучно суют бесполезный велосипед.
Когда-нибудь оно лопнет и забрызгает всех, кто не успеет отскочить.

nnz ★★★★
()
Ответ на: комментарий от Led

> Пользоваться дистрибутивными пакетами, в т.ч. и ядром.

Это не всегда возможно :-( Приходится как-то выкручиваться и сидеть на ванильном.

AlexKiriukha ★★★★
()
Ответ на: комментарий от annulen

Ага, почитал, пасиб!
Я так понял, какая-то хитрая часть билда (созданная, видимо, в обход тупого make) написана на Перле, по поводу чего идёт фееричный коммент:

«The current build system has fat dependencies. It depends directly on Perl and dmake»

:) Такой тупизны от разрабов я не ожидал... Мало того, что Перл - это практически стандартный язык в поставке любого дистра, так он ещё и «язык», т.е. универсальный инструмент, а не какая-то перделка типа awk! Сетовать на зависимость от Перл - это вообще не понимать юниксвэй.

В любом случае, маке мне ну никак не нравится - слишком убогий для современных задач.

matumba ★★★★★
()
Ответ на: комментарий от Led

Ах, модуль... Моя ошибка, не обратил внимания на «патчи, обеспечивающие _поддержку_»

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от tailgunner

> Мы здесь. Спрашивай свои вопросы.

:) Тык уже спросил! Вот есть ваш посикс, которого все придерживаются як дитё юбки. Вопрос: А СМЫСЛ? Текущая тема - прекрасный иллюстратор того, что идеи 30-летней давности УСТАРЕВАЮТ (не говоря о тех идеях, которые были ущербны изначально, например «rwx»). А ещё колом в Ж линукса идут РАЗНЫЕ ОБЛАСТИ ПРИМЕНЕНИЯ - от встраиваемых в коробочку рутеров до многотысячных вычислительных ферм и в каждой из них свои противоречащие требования.

Я конкретно за что выступаю? За радикальные улучшения среды: убрать «мусор», устаревшие программы, что-то скомбинировать, что-то сделать по-другому, чтобы не тянуть весь этот хлам ещё 30 лет (Посмотрите на пример Gobo-линукса). Люди, «избалованные» нормальной средой (оффтопиком), не будут с вами обсуждать достоинства vim'а времён чёрно-зелёных терминалов - для них Линукс проще закопать, чем изучать. Так что Посикс - это ваш чемодан без ручки, мешающий бежать быстрее винды.

matumba ★★★★★
()
Ответ на: комментарий от matumba

дело не в убогости перла. а в убогости системы сборки. GNU make же гораздо быстрее, имеет много полезных плюшек для сборки и очень хорошо параллелится (мне так и не удалось запустить параллельную сборку с dmake)

annulen ★★★★★
()
Ответ на: комментарий от matumba

>Так что Посикс - это ваш чемодан без ручки, мешающий бежать быстрее винды.

выкиньте посикс, и потеряете огромный рынок расчетных программ

annulen ★★★★★
()

АппАрмор - не нвовость! Все сусеводы знают ибо он во всех сусях искаропки! и настраивается в ясте!

ipwww ★★
()
Ответ на: комментарий от matumba

я не понял, в чем наезд на rwx. Для своего отдельно взятого файла мне проще задать позиксовые права, чем настраивать selinux или что-нить еще

annulen ★★★★★
()
Ответ на: комментарий от matumba

>Посмотрите на пример Gobo-линукса

им кто-то пользуется? отказ от FHS дал какую-то реальную пользу (кроме путаницы, где чего лежит)?

annulen ★★★★★
()
Ответ на: комментарий от matumba

> Вот есть ваш посикс, которого все придерживаются як дитё юбки.

(зевая) ну ты-то взрослый уже, ты-то его не придерживаешься. Так что тебя беспокоит?

А ещё колом в Ж линукса

К психологу не пробовал обращаться по поводу анальной фиксации?

идут РАЗНЫЕ ОБЛАСТИ ПРИМЕНЕНИЯ - от встраиваемых в коробочку рутеров до многотысячных вычислительных ферм и в каждой из них свои противоречащие требования.

Они пртиворечат POSIX разве что внутри твоей головы.

Я конкретно за что выступаю? За радикальные улучшения среды: убрать «мусор», устаревшие программы, что-то скомбинировать, что-то сделать по-другому, чтобы не тянуть весь этот хлам ещё 30 лет

Можешь сначала потренироваться на удалении хлама из Win32. Ему всего 20 лет, задача должна быть полегче.

tailgunner ★★★★★
()
Ответ на: Ахха от wherecat

> Особенно подчеркивает ненужность бубунты и каноникала вообще дистровотч.ком

Месье путает два слова «ненужность» и «популярность»?
Ничего, бывает.
Мосье путает слова «ненужность» и «бесперспективность»?
Ничего, бывает.
А ещё, мосье, поделитесь, как бесперспективность аппармора, внезапно вылилась в ненужность бубунты и каноникла.

Lumi ★★★★★
()
Ответ на: комментарий от Aesthete

> Что за привычка всё совать в ядро.
/usr/src/linux/Documentation/stable_api_nonsense.txt

Nao ★★★★★
()
Ответ на: комментарий от xorik

>>Скоро ядро будет собираться дольше, чем опенофис.

Гентушники привыкли, остальным пофигу

Гентушники давно отключили всё ненужное в ядре и собирают его за пару минут.

Nao ★★★★★
()
Ответ на: комментарий от mcdebugger

> кстате на тему ядра, как там дела с монолитами? )
Не понял вопрос. Как в Генту дела с монолитными ядрами? Ну linux kernel как бэ всегда был монолитным и им остался :)

Nao ★★★★★
()
Ответ на: комментарий от frost_ii

> Скоро в ядро встроят опенофис
Опенофис наврядли, а вот иксы вполне возможно туда переедут когда-нибудь. И так уже много чего в последнее время в ядро перетащили из юзерспейса.

Nao ★★★★★
()
Ответ на: комментарий от hobbit

> Я, естественно, про новые версии...

А какое ядро в новой версии? Я находил упоминания 2.4.32 (в 3.0r14), но про 3.0r16 ничего (кроме того, что она 2008 года)

sjinks ★★★
() автор топика
Ответ на: комментарий от sjinks

>Ссылки на тесты в студию

Какие еще тесты? Я что, похож на похороникс?

Попробуй и то и то в боевых условиях, сам поймешь.

nnz ★★★★
()
Ответ на: комментарий от sjinks

3.0r14 - это уже не новая, это мейнстрим.

Сейчас грядёт 5.0...

hobbit ★★★★★
()

Рефлекс при упоминании AppArmor

/etc/init.d/apparmor stop
update-rc.d -f apparmor remove
aptitude remove apparmor apparmor-utils

Хотя раз тулят это даже в ядро - наверное оно зачем-то нужно. Зачем? Кто знает реально нужный, работающий пример применения AppArmor?

darkfire
()
Ответ на: комментарий от farafonoff

>ты веришь что rwx достаточно?

Как правило да.

Если недостаточно, никто не мешает включить POSIX ACL. Или не осилили?

qwe ★★★
()
Ответ на: комментарий от darkfire

>Зачем? Кто знает реально нужный, работающий пример применения AppArmor?

Кстати да, мне тоже интересно. Могут ли, и если могут, то как именно мне помогут SELinux, AppArmor и YAMA на примере защиты от заведомо враждебного трояна libflashplayer.so?

legolegs ★★★★★
()
Ответ на: комментарий от legolegs

> Могут ли, и если могут, то как именно мне помогут SELinux, AppArmor и YAMA на примере защиты от заведомо враждебного трояна libflashplayer.so?

Смотря как ты собираешься его ограничивать, и смотря в какой версии FF он работает.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

>Смотря как ты собираешься его ограничивать

Очевидно же - ничего нельзя писать и читать, кроме ~/.adobe/Flash_Player/ . Можно рисовать окно, играть звук, юзать http (и то, под вопросом). Вебкамера флешу не нужна. Нельзя делать скриншоты, пускать программы, вообще короче ничего нельзя.

и смотря в какой версии FF он работает.

Для простоты считаем, что он всегда пускается отдельным процессом-враппером.

legolegs ★★★★★
()
Ответ на: комментарий от legolegs

>> Смотря как ты собираешься его ограничивать

Очевидно же - ничего нельзя писать и читать, кроме ~/.adobe/Flash_Player

Думаю, это невозможно. Читать /lib и /usr/lib ему по-любому нужно.

Для простоты считаем, что он всегда пускается отдельным процессом-враппером.

Тогда файловую систему можно защитить очень хорошо - то есть пароли к порносайтам он не украдет %)

tailgunner ★★★★★
()
Ответ на: комментарий от AlexKiriukha

>> Пользоваться дистрибутивными пакетами, в т.ч. и ядром.

Это не всегда возможно :-( Приходится как-то выкручиваться и сидеть на ванильном.

Дистрибутивным - значит из дистрибутива, а не из слаки.

Led ★★★☆☆
()
Ответ на: комментарий от legolegs

>Могут ли, и если могут, то как именно мне помогут SELinux, AppArmor и YAMA на примере защиты от заведомо враждебного трояна libflashplayer.so?

SELinux может просто заблокировать доступ FF,Opera,etc к этому модулю. Что могут остальные секьюрити-модули не знаю, т.к. не работал.

Основная фишка SELinux это разграничение доступа по схеме MLS. Т.е для каждого отдельного уровня безопасности свои права доступа. Например, группа 1000 может запускать FF, а группа 1020 уже нет. По большей части это касается работы с документами повышенной секьюрности.

Почитать больше про MLS можно, например, здесь:
http://www.linuxshare.ru/docs/security/selinux/selinux2.html

В домашних условиях удобно запускать всякие троянчики и глядеть в audit.log, там сразу пишется вызываемые системные вызовы, обращения к файлам и т.п. полезная инфа. А также позволяет создавать sandbox'ы для приложений типа FF, отдав права браузеру лишь на доступ к своим файлам и на чтение/запись в какую-нить временную директорию.

В серверных решениях SELinux тоже полезен, дырка в форуме не позволит апачу вылезти за описанные заранее директории, выполнять определенные системные вызовы и т.п.

gh0stwizard ★★★★★
()
Ответ на: комментарий от Led

> Дистрибутивным - значит из дистрибутива, а не из слаки.

У меня Федора, считаю это дистрибутивом и менять не планирую. Что-то они там начиная с 12-й намудрили, что wifi (ath9k) стал работать отвратительно. На ванильном такого нет. С удовольствием бы вернулся на дистрибутивное, но wifi важнее. Хотя нужно будет попробовать, может уже и починили.

AlexKiriukha ★★★★
()

Нужно-нужно. Пусть тащат в ядро. Ассортимент _работающих_ альтернатив никогда ещё не был минусом.

NIR
()

Пока вы тут троллите AppArmor уже добавили в ядро:)

Led ★★★☆☆
()
Ответ на: комментарий от tailgunner

>>> Смотря как ты собираешься его ограничивать

Очевидно же - ничего нельзя писать и читать, кроме ~/.adobe/Flash_Player

Думаю, это невозможно. Читать /lib и /usr/lib ему по-любому нужно.

Зачем? Читать из /lib и /usr/lib нужно проге, которая его запускает. А трояну их читать вредно.

alt-x ★★★★★
()

12309 пофикшен

а тем временем...

registrant ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.