LINUX.ORG.RU

SeLinux в сравнении с безопасностью OpenBSD


0

0

Недавно в списке рассылки OpenBSD-misc состоялась дискуссия на предмет сравнения безопасности ядра Линукса 2.6.x в виде подсистемы SeLinux с тем, что предлагается в OpenBSD. Общее мнение таково: политика безопасности SeLinux и язык, на котором она пишется, слишком сложна, что приводит к тому, что, цитата Damien Miller: "при развёртывании всех известных мне средних и крупных инсталляций Линукса, SeLinux был отключен. Как только вы делаете шаг в сторону от конфигурации по умолчанию, то предлагаемые политики, с которыми поставляется ваш дистрибутив, больше не работают, и затем всё просто ломается". Другой участник дискуссии просуммировал высказанное следующим образом: "проблема безопасности, которая опирается на какую-либо [предопределенную] политику, в том, что последняя всегда неверна".

Далее была высказана следующая [как мне кажется очень правильная] мысль: "Нельзя прививать безопасность - её нужно интегрировать в основной процесс разработки. Я уверен, что мэйнтейнеры накладывают все возможные патчи, но это не исправляет фундаментальный изъян этого процесса. Это не ошибка в их работе - это неотъемлемая часть ситуации. Но это всё равно изъян."

"Проблема с SeLinux в том, что это просто кнопка, которую можно нажать, оставив систему без сверхнадёжной защиты". OpenBSD имеет более универсальну систему защиты в виде propolice stack protection, random library mappings, proactive privilege separation, W ^X и systrace.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Что за очередной бздёжь? Не осилили что-ли?

>OpenBSD имеет более универсальну систему защиты в виде p ropolice stack protection, random library mappings, proactive privilege separation, W ^X и systrace.

Да ну? Опять бздя пиарится.

anonymous
()

Тем не менее в OpenBSD есть root и существует вероятность заполучить права :) Увы, но ы OBSD система безопасности то же привита.

robot12 ★★★★★
()

SELinux - такой же костыль безопасности, как и .Net в Венде. Не смогли сделать безопасную ось - вот и закутывают ее во всякие тряпочки

anonymous
()
Ответ на: комментарий от anonymous

> Не смогли сделать безопасную ось

Оставляя в стороне то, что SELinux - это часть ОС... а хоть кому-то удалось сделать безопасную ось и что это такое?

tailgunner ★★★★★
()
Ответ на: комментарий от robot12

Не согласен с твоим мнением. В obsd выше перечисленные вещи существуют by default, в linux их надо внедрять при помощи патчей либо активировать опции в kernel config.

anonymous
()
Ответ на: комментарий от anonymous

> Не согласен с твоим мнением. В obsd выше перечисленные вещи существуют by default, в linux их надо внедрять при помощи патчей либо активировать опции в kernel config.

OpenBSD - дистрибутив, Linux - всего лишь ядро. Как можно сравнивать целый дистрибутив с ядром системы?

Black_Shadow ★★★★★
()
Ответ на: комментарий от tailgunner

та часть которую надо активировать.

btw, бинарники в obsd default install имеют stack-protection by default (ProPolice).

[cryptus]$ strings /usr/bin/ident |grep stack __stack_smash_handler

anonymous
()
Ответ на: комментарий от anonymous

> SELinux - такой же костыль безопасности, как и .Net в Венде. Не смогли сделать безопасную ось - вот и закутывают ее во всякие тряпочки

Ну венда вобще лидер по всяким там костылям и "закутываниям в тряпочки"

Black_Shadow ★★★★★
()

Да, увы, я тоже часто (в половине случаев точно) отрубаю SeLinux, ибо до сих пор не хватает сил разобраться с этим монстром.

birdie ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> та часть которую надо активировать.

ну так активируй ее.

Ты не ответил, что такое "безопасная ось" и удалось ли ее кому-нибудь разработать.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

это perfection. как дорога к коммунизму. дорога по которой идут, но цель достичь очень тяжело, если не бозможно.

anonymous
()

I wonder who is the troll. The only argument you have is "they are a cult and defend their OS".

But what they actually dont get is, there is MORE THAN ONE WAY TO LOOK AT SOMETHING. And that includes security.

imo самые ТЕ комменты

robot12 ★★★★★
()
Ответ на: комментарий от Black_Shadow

да, но одним мгновением можно отклучить. в obsd это сделать тяжелее - ковырять предется много каких файлов.

anonymous
()

в "правильном" переводе: "просмотрел я по диагонали на ваш селинух, много незнакомых буковок, потому делаю авторитетное заявление: фигня ваш селинух..."

это только под оффтопиком выпускник среднеобразовательной школы может настроить безопасность системы на высшем уровне для самого крупного банка швейцарии =))

arsi ★★★★★
()

Чего-то мне не нравится, что товарищи из OBSD начали оправдываться, дескать наше лучше вашего. ИМХО, это свидетельствует как раз об обратном - что selinux лучше по всем параметрам, кроме, быть может, сложности описания политик.

annoynimous ★★★★★
()
Ответ на: комментарий от tailgunner

> Оставляя в стороне то, что SELinux - это часть ОС... а хоть кому-то удалось сделать безопасную ось и что это такое?

Это ось размером 0 байт. Самая быстрая в мире и самая неломаемая. Правда даже ее разработчик не знает что она делает в текущий момент. %)

anonymous
()
Ответ на: комментарий от anonymous

>> Оставляя в стороне то, что SELinux - это часть ОС... а хоть кому-то удалось сделать безопасную ось и что это такое?

>Это ось размером 0 байт. Самая быстрая в мире и самая неломаемая.

А... еще машину под ее управлением никогда не включают и не подсоединяют к сети? :D

tailgunner ★★★★★
()
Ответ на: комментарий от Black_Shadow

нет, именно оттуда и a lot of kernel root exploits known from the past.

anonymous
()
Ответ на: комментарий от anonymous

> Linux devs do NOT understand Security as a process.

Что значит "процесс"? Бить всех программеров линейкой по пальцам, чтобы он следил за указателями? Перевести всех на Яву? Программить исключительно на Паскале, обязательно с рантаймовой проверкой на выход за границу массива? Процесс - это действия. Какие действия могут предпринять "Linux devs"? Это и в самом деле идеализм.

А вот подход "давать ровно столько прав, чтобы выполнить работу" - проверен на практике и довольно устойчив к случайным или умышленным попыткам нарушить его работу. Причём это касается не только программирования, но и способов и средств охраны ценного имущества, банков, военных секретов и т.п., иными словами имеется хорошо разработанная и опробованная модель.

annoynimous ★★★★★
()
Ответ на: комментарий от anonymous

>уже обосновано коментариями above. Security is NOT a set of patches! Linux devs do not polish their code, as obsd devs do.

Это не обоснование, а всего лишь риторика

Black_Shadow ★★★★★
()
Ответ на: комментарий от anonymous

> You should strive to perfection of your code. Evaluate and re-evaluate your code.

На это никто и никогда не пойдет. Чем пытаться избежать ошибок, лучше делать систему, которая устойчива к ошибкам.

annoynimous ★★★★★
()
Ответ на: комментарий от anonymous

> доказано тем что Linux devs puts a patch-set вместо того что-бы вклучить эти вещи в vanilla kernel.

Ещё раз повторяю, давайте не будем сравнивать ядро с готовой операционной системой.

Black_Shadow ★★★★★
()
Ответ на: комментарий от anonymous

>Security is a process, not a set of patches. в obsd этот процесс выражается в полировке кода.

В опенбзд процесс выражается в наглом пиаре, а также в полной закрытости информации об ошибках*. Пусть и дальше себе в лужу бздят, там, где реальная безопасность нужна, это поделие использоваться никогда не будет.

*Ещё они песенки поют, да рисунки рисуют, как в ясли-саде.

anonymous
()
Ответ на: комментарий от anonymous

инвормация эта вся public - src-changes commits. так что не гундось, а пойди лучьше в универ учиться - там тебе покажут что и как.

anonymous
()

>Damien Miller: "при развёртывании всех известных мне средних и крупных инсталляций Линукса, SeLinux был отключен. Как только вы делаете шаг в сторону от конфигурации по умолчанию, то предлагаемые политики, с которыми поставляется ваш дистрибутив, больше не работают, и затем всё просто ломается". Другой участник дискуссии просуммировал высказанное следующим образом: "проблема безопасности, которая опирается на какую-либо [предопределенную] политику, в том, что последняя всегда неверна".

--Слыш, пацаны! А у лялюпса то SELinux есть! --И чо? Для чайнегов оно слишком сложно. Так шта нам оно не конкурет.

Quasar ★★★★★
()
Ответ на: комментарий от anonymous

> и я опять же повторяю:

>propolice stack protection, random library mappings, W ^X и systrace implemented on kernel-lvl.

Ну так и я могу повторить, что в ядре федоры (и некоторых других дистрибутивов), SELinux встроен в ядро и включен по умолчанию.

Black_Shadow ★★★★★
()
Ответ на: комментарий от Black_Shadow

не встроено - ВСЕ это отключается в kernel config.

встроено это когда приварили, и что-бы отклучить то надо вырезать.

anonymous
()
Ответ на: комментарий от Black_Shadow

> OpenBSD - дистрибутив, Linux - всего лишь ядро.

OpenBSD - это не столько дистрибутив, сколько отдельная операционная система, со своим ядром.

yk4ever
()
Ответ на: комментарий от anonymous

>не встроено - ВСЕ это отключается в kernel config.

>встроено это когда приварили, и что-бы отклучить то надо вырезать.

У Linux есть фишка такая, настраивать параметры ядра без перекомпиляции и перезагрузки ОС.

Black_Shadow ★★★★★
()
Ответ на: комментарий от Quasar

слесарь-сантехник uses linux?! - пачетна. маладес.

anonymous
()
Ответ на: комментарий от anonymous

>ты так и не понял о чем речь?! ПРИВАРЕНО В obsd это все.

Т.е. лишний геморрой для тех, кому оно не нужно. Чем оно лучше селинукса так и не ясно.

anonymous
()

SELinux зло в любом случае, его же NSA делала, которая имеет право получать секретные неустаревающие патенты. Если его интегрировать намертво, то чеерз годик выяснится что патенты NSA 0wNes Linux... по крайней мере в штатах :)

sv75 ★★★★★
()
Ответ на: комментарий от anonymous

тем что приварено то что надо и что дейстивельно разработано на нужном уровне. работает без всяких policies.

(я не беру во внимание systrace)

anonymous
()
Ответ на: комментарий от anonymous

>инвормация эта вся public - src-changes commits. так что не гундось,

А чего не в багтраке? Самому прикажешь выяснять что они там на исправляли?

>так что не гундось, а пойди лучьше в универ учиться - там тебе покажут что и как.

Где такое показывают? Если только на уроках менеджмента.

P.S. В топку эту полузакрытую опенбзд.

И вообще-то BSD - R.I.P.

anonymous
()
Ответ на: комментарий от anonymous

> not an engineer approach. developer IS an engineer.

Мля, как ты достал со своим инглишем

It DOES engineer aproach! Nobody guarantees seamless execution of any program since this world is unpredictable - no peferct CPUs, memory sticks, and... people. It is indeed smart solution to create a persistent program instead of a bugfree one.

annoynimous ★★★★★
()
Ответ на: комментарий от annoynimous

учатся на ошибках, но ты явно отказываешся видеть ошибки прикрываясь системой (опять же с потенциальными ошибками), следовательно ты не учешся, а это глупо.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.