LINUX.ORG.RU

GRSecurity живее всех живых!


0

0

Благодаря финансовой поддержке и некоторым спонсорам разработка проекта grsecurity продолжится. Брэд теперь полностью может посвятить себя работе над своим проектом, не утруждая себя поисками работы.

Узнать какие изменения запланированы для grsecurity в ближайщем будущем, вы сможете, обратившись к исследовательской работе Брэда "Increasing Performance and Granularity in Role-Based Access Control Systems"[1]. Также на сайте, в разделе документаций, вы сможете найти документацию по быстрому введению в grsecurity - "Grsecurity Quick-Start Guide"[2].

[1]. http://www.grsecurity.org/researchpap...
[2]. http://www.grsecurity.org/quickstart.pdf

>>> Подробности

★★★★★

Проверено: svyatogor ()

аллилуйя

anonymous
()

супер! спасибо спонсорам, Брэд тоже молоток! пожелаем ему творческих успехов!

anonymous
()

Типа бизнес план

1. раздаём OSS 2. ждём, пока внедрят и станут от него зависеть 3. угрожаем закрыть проект 4. Profit!!!

Ура, товарищи! Коммерческая модель для опен-сорса найдена!

anonymous
()

Ооо как братья онанимусы взволновались ))) завидуют наверное ))

предыдущему онанимусу: проект никто закрывать не собирался!!! сорцы были бы доступны всем желающим, так что не 3.14ди!

anonymous
()
Ответ на: комментарий от anonymous

>Коммерческая модель для опен-сорса найдена!

а "IMHO" где?

Pi ★★★★★
()
Ответ на: комментарий от anonymous

>Ура, товарищи! Коммерческая модель для опен-сорса найдена!

Брэд и не собирался закрывать проект, просто он хотел посвятить своему проекту все свое время, все лето, но так как никакого финансирования не намечалось, он собирался найти работу, и был неуверен, что у него будет оставаться время на grsec. А так как уже сейчас нашлись спонсоры, готовые проплатить хостинг, а может даже и работу Брэда, Брэд посвятить себя проекту, а там у него запланированы классные вещи. Этому можно только радоваться...

dotcoder ★★★★★
() автор топика
Ответ на: комментарий от dotcoder

Классная новость, и классный проект.

Теперь, для полного счастья, мне не хватает узнать, чем занимается Poul-Henning Kamp, а то я его в TODO-листе не вижу, извините за оффтоп.

anonymous
()
Ответ на: комментарий от anonymous

> сорцы были бы доступны всем желающим, так что не 3.14ди!

желающие обычно желают скачать нахаляву, не более того. не надо баек про стада программистов, готовых подхватить проект и вести его дальше, в светлое голодное будущее ;)

anonymous
()
Ответ на: комментарий от dotcoder

> А причем тут он? :)

Ну как бы он тоже спонсоров искал, только вот TODO на него ничего не навешано, а ведь он практически добровольно обещал закабалиться.

anonymous
()
Ответ на: комментарий от anonymous

> не надо баек про стада программистов, готовых подхватить проект и вести его дальше, в светлое голодное будущее ;)

если проект того стоит, то найдутся и спонсоры и стада програмистов готовых подхватить его и примеров этому предостаточно ))

anonymous
()

слава яйцам что насобирал.

FreeBSD ★★★
()
Ответ на: комментарий от Cosmicman

> я ему тоже 10$ скинул

Ага, так вот кто тот пресловутый спонсор...

anonymous
()
Ответ на: комментарий от fagot

> почему?

Есть SELinux и RSBAC, которые пытаются бороться с тем, что UNIX was not designed with security in mind. А grsec пытается наделать костылей, и, IMHO, "удачно" сочетает недостатки RSBAC и SELinux.

Dselect ★★★
()
Ответ на: комментарий от Dselect

А вы его хоть юзали?

Извините, но от мнений "stupid idiot"-ов я воздерживаюсь ;)

dotcoder ★★★★★
() автор топика
Ответ на: комментарий от Dselect

А можно по поводу сочетания недостатков по подробней?Просто интересно стало.Вроде ты в прошлые разы говорил, что селинукс херовее задумка чем грсек?И вроде у грсека и рсбака на сайтах висела заметка, почему селинукс херовее чем их поделка.

anonymous
()

mozilla hot keys

Извините пионера за вопрос. А применял ли кто-нибудь сии поделия (хоть одно из трёх упомянутых) на практике? Это вполне серьёзные вещи, которые работают или пока "чисто теоретические" разработки?

slo
()
Ответ на: комментарий от anonymous

про недостатки

> А можно по поводу сочетания недостатков по подробней?

Основные недостатки SELinux:

1) нельзя (или очень сложно) сделать так, чтоб домен (роль) A мог policy _только_ для доменов B,C,D,...

2) LSM -- suxx

про это хорошо написано, напр., здесь http://www.rsbac.org/lsm.htm

3) просто куча мелких, неприятных багов...

Достоинтсва SELinux:

Четко сформулированная, _простая_ модель безопасности -- DTE.

Основные недостатки RSBAC:

1) использование UID в качестве security ID

2) (недостаток основной модели -- RC) нет role/type transition tables

Достоинства RSBAC:

1) Разделение политики и механизма ( AEF vs ADF ), как следствие -- модульность.

2) Разделение административных прав ( см. Admin Roles, Assign Roles, etc)

grsec:

1) Убогая (вообще никакой) формальной модели безопасности

2) Про модульность тоже можно забыть

3) Тот, кто может менять /etc/gracl (или где они там), может все, тот, кто не может -- не может ничего.

Dselect ★★★
()
Ответ на: mozilla hot keys от slo

все зависит от кривизны рук

> Это вполне серьёзные вещи, которые работают или пока "чисто теоретические" разработки?

Вполне рабочие вещи, но (как всегда) кое-где приходится брать в руки напильник...

Dselect ★★★
()

А много ли времени это занимает, втроить RSBAC в свой дистрибутив? Есть дистриб alt-linux castle. Судя по факту его существования это серьезная работа. Или вовсе не обязательно "встраивать" RSBAC в дистриб тотально? Можно ли сделать только то, что надо? Например, разграничить доступ к файлам в каком-нибудь каталоге.

slo
()
Ответ на: комментарий от Dselect

>> Он простой.

>Черта с два. Без бутылки хрен там разберешься.

Ну, это проблемы конкретного индивида.

А по мне, grsec - грамотная, действительно простая и эффективная система "закручивания гаек" (причем, выборочного закручивания). Работаю с ним давно (на продакшн серверах), доволен и очень рад, что проект не умрет.

anonymous
()
Ответ на: про недостатки от Dselect

Dselect, перечислите пожалуйста достоинства grsec.

anonymous
()
Ответ на: комментарий от slo

не изобретайте велосипед...

> А много ли времени это занимает, втроить RSBAC в свой дистрибутив?

Много. Надо писать policy для всех программ... Проще взять что-то готовое -- напр., Adamantix.

Dselect ★★★
()
Ответ на: комментарий от Dselect

>> Он простой.

> Черта с два. Без бутылки хрен там разберешься.

Правильно. Там только бутылку надо :)

А тот-же мандатный доступ надо на бумаге построить и доказать. После этого небольшой RTFM по конкретной реализации и можно внедрять.

MrKooll ★★★
()
Ответ на: комментарий от MrKooll

> А тот-же мандатный доступ надо на бумаге построить и доказать.

IMHO, алгоритм гораздо проще, чем возня с *NIX'-овыми [res][ug]id.

Dselect ★★★
()
Ответ на: комментарий от anonymous

> а вы пытались использовать RSBAC jail.

Нет, IMHO, всякие chroot'-ы и jail'-ы -- это [sensored].

Dselect ★★★
()
Ответ на: комментарий от MrKooll

> Для некоторых уродцев такое policy получится что их проще выкинуть чем костыли подставлять.

Ага, например, XFree86 :)

Dselect ★★★
()
Ответ на: комментарий от anonymous

MAC: FreeBSD vs Linux

> Это чем-то лучше Фрёвой связки ACL + Security Levels + Jail ?

А Вы попробуйте сделать с вашею фрею что-то навродя этого: http://www.linux.org.ru/gallery/bigimagMz.png

P.S.

RTFM:

http://www.rsbac.org/rc-nordsec2002/index.html

http://www.rsbac.org/models.htm

Dselect ★★★
()
Ответ на: MAC: FreeBSD vs Linux от Dselect

можно поинтересоваться у пользующих rsbac и selinux: сколько серверов у вас в работе под этими параноидальными надстройками, сколько времени вы с ними трахались и трахаетесь? сколько гиморроя что-то произвести какие-то действия в системе? я пробовал у себя поставить, но количество гиморроя отпугнуло - ну его нафиг. к тому же возможна такая смешная ситуация: тужишься, пыжисься, ночей не спишь, а приполз червяк или пионер через незамеченную дырочку и твои труды полетели в ...

у меня десятки серверов, стоит grsec: pax, jail (все аппы живут там в специально установленном линухе в джайле), рандомайзинг, логирование можно включить и всякое прочее - почти всё включено. кроме acl. хватает. чем пальцы загибать, мол какая у меня крутая система, я лучше буду с минимумом проблем обслуживать больше систем. не стоит городить дорогую защиту, там где она не нужна. будет больше заказчиков - можно замахнуться и на сотни. если руководство согласится...

sg
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.