LINUX.ORG.RU

RHEL5 has not yet completed any CC evaluations.

anonymous
()

Не читая статьи сделаю предположение - раз запостил саныч значит в статье говорится что солярка более секурная чем рхел. Я прав?

Godzillich
()
Ответ на: комментарий от Godzillich

а вот почитай, хотяб для интересу.

вот Conclusions:


While an SELinux policy can express the labeled information flows of a system, it often requires a very large and detailed policy. With Trusted Extensions, simply defining the labels and assigning user clearances is usually sufficient.

The isolation and polyinstantiation features of Trusted Extensions provide both MLS and Multiple Independent Levels of Security (MILS), as described by the newer MILS protection profile. Therefore, Trusted Extensions might be able to achieve higher levels of assurance in the future. The isolation provided by labeled zones is more compatible with commercial, off-the-shelf software because it is more transparent to applications, and it is substantially easier to manage because it is a natural extension of the Solaris management model.

Choose Trusted Extensions if you need to support users working at multiple levels and not just multilevel web services, because Trusted Extensions provides two multilevel desktop environments. RHEL5 LSPP does not provide a multilevel desktop environment.

While RHEL5 LSPP appears to have a more integrated IPsec solution, Trusted Extensions has more multilevel functionality. For instance, Trusted Extensions enables a single host to act as a multilevel NFS server. RHEL5 LSPP does not support NFS file sharing. Thus, Trusted Extensions enables a security administrator to implement labeled security throughout the data center, in file sharing, in web hosting, in application firewalls, and for other uses.

RHEL5 LSPP and Trusted Extensions have taken different design approaches to meet the same CC profiles. However, while these systems might meet the same criteria, it is important to consider the functionality that is included in the systems submitted for LSPP evaluation. Trusted Extensions includes several features, such as multilevel NFS and a multilevel windowing system, that are designed to meet the security data flow requirements specified by LSPP and to be usable in real-world environments and by real-world customers. Comparable features are either not available or have been excluded from the RHEL5 LSPP evaluation target.

chocholl ★★
()

Конечно солярка круче.

anonymous
()
Ответ на: комментарий от Godzillich

Вы можете подтвердить обратное?

Чётко выстроенная модель безопасности всегда надёжнее устаревшего ядра с набором хаков.

ssedov
()
Ответ на: комментарий от Godzillich

>Я прав?

Для этого да же на ник глядеть не надо :) Но я думаю что новость больше подошла бы для solaris.org.ru :) Если RHEL пройдёт ту же сертификацию сто и Solaris, вся писанина Sun коту под хвост. Решают одну проблемму разными способами.

robot12 ★★★★★
()
Ответ на: комментарий от ssedov

> устаревшего ядра с набором хаков.

И к какому ядру эта фраза относится?

"the Trusted Extensions MLS policy for file systems and for networking is hard-coded in the Solaris kernel"

tailgunner ★★★★★
()
Ответ на: комментарий от anonymous

> а кто здесь кто?

> anonymous (*) (26.03.2007 19:24:50)

...спросил анонимус

cascade
()

Ага, сантехники прям на главной страничке напишут, что RHEL круче, а наш солярис гавнище. Зачем этот спам пропустили ?

Drolyk ★★★★
()

Раз сантехники заговорили о безопасности, то значит, что скоро выйдут новые баги для Enterprise(R) Trusted(TM) Solaris(C).

MaratIK
()

Читать сравнения с солярой на сайте санок?

Stalwart ★★★
()
Ответ на: комментарий от theserg

>Саныч жжот

Саныч бойянит ... я ещё вчера прочетал.

P.S.: Как там дела у Solaris с дровами для Intersil Prism 2.5 ??? Уже написали ?

robot12 ★★★★★
()
Ответ на: комментарий от Godzillich

>Не читая статьи сделаю предположение - раз запостил саныч значит в статье говорится что солярка более секурная чем рхел. Я прав?

нэт. в линаксе использован более гибкий (позволяет делать более "fine grained" политики) подход, однако оверхед всего этого добра в линаксе значительно выше нежли чем в соляре. плюс ковсему настройка и потдержка всего этого добра в соляре значительно проще. короче - ничья.

aydef
()
Ответ на: комментарий от anonymous

> а кто здесь кто?

Чётко выстроенная модель безопасности - selinux, устаревшее ядро с набором хаков - солярис (не знаю правда, что именно там устаревшее, понятно что кучи современных системных вызовов, которые умеет linux 2.6 там нет, но все же).

Из следующей цитаты становится понятно, почему в солярисе секьюрити, прикрученное снаружи через хаки. RHEL же - система cо сложной и четкой моделью selinux, индивидуально подстроенной под сервисы. Вернее, с несколькими возможными моделями.

Similarly, the Solaris security policy is abstracted by means of a private set of policy hooks. The policy hook functions use secpolicy_*() as a common prefix. These private interfaces are exposed through the OpenSolaris open source code project [5]. At the present time, the Solaris OS uses these functions only to implement process privilege checks, although the architecture is extensible.

Но это все, конечно, мелочи жизни, а вот это реально грустно:

The Solaris 10 OS does not support policy configurations, per se. However, the Solaris 10 11/06 OS does provide a limited network services profile called Secure by Default Networking that is roughly equivalent to the RHEL5 Targeted policy. Solaris 10 11/06 with Trusted Extensions enabled is comparable to RHEL5 LSPP. The Solaris 10 OS does not provide an equivalent to the Strict policy.

Именно "strict"-политика и есть самое вкусное в selinux. Как во всяческих играх вроде предложенных во время запуска selinux "вот машина и логин с правами рута, запускайте что хотите, попробуйте сделать что-нибудь нехорошее", так и в реальных ситуациях, когда нужно иметь гарантию, что запрещенные вещи останутся по-настоящему запрещенными независимо от степени взлома системы, а не просто понавешать ограничений на несколько демонов.

anonymous
()

А чего, под Соляркой уже Beryl поверх Гнума запускается, или всё то же убогое CDE торчит с энтерпрайз-багами в телнете?

Gharik
()
Ответ на: комментарий от Gharik

> А чего, под Соляркой уже Beryl поверх Гнума запускается

Компиз в девелопер эдишине уже стартует, но с DRI на x86 пока что косяки.

CDE торчит, телнет пофиксили.

Гном лучше не запускать, если конечно не счстливый обзадатель чего-нить с 3-мя ггц и гектаром оперативки... Несмотря на появление гнома все фрэймворки типа WBEM SMC и мелких тулзов остались жабские. Так по опыту пробы на 2.4 P4-ht с 512-ю Мб после запуска тулзы для обновления - страх божий (в смысле всеоооооооо таааааак мееееееедлеееееноооооо). Периодически "чихает" гном после чего только сносить все ~/.g* и настраивать обратно. ХFCE ничего так бегает... но дров катастрофически не хватает.

iBliss
()
Ответ на: комментарий от iBliss

Это на спарках всё такое перспективное, или только на порте под x86, а в родном окружении всё пиццато? Нужно в кладовку слазать... где-то так есть сановское железо... \m/

Gharik
()
Ответ на: комментарий от aydef

> короче - ничья.

Саныч, а зачем ты сменил ник на aydef? Твои типичные ошибки в русском языке тебя выдают всё равно :)

dmesg
()
Ответ на: комментарий от iBliss

> Периодически "чихает" гном после чего только сносить все ~/.g* и настраивать обратно. ХFCE ничего так бегает... но дров катастрофически не хватает.

ну gnome-cleanup не отменяли :) А JDS/Gnome действительно - г ...

ilyxa
()
Ответ на: комментарий от Gharik

> Это на спарках всё такое перспективное, или только на порте под x86, а в родном окружении всё пиццато?

И там и там... А вообще имхо лучше линух в качестве DE а на сервер строго консолькой... Бо собрать привычное окружение - тот еще хардкор, и после этого обнаружить что про tv-тюнер можно забыть, про блютус тоже (особенно глядя как весело развивается проектик), как то не сильно весело.

> кладовку слазать... где-то так есть сановское железо... \m/

Курчаво живем... %)

iBliss
()

Смешно читать про политики безопасности после таких пролётов, как ping of death и дыры в telnet, под которую аж червяки начали писать.

anonymous
()
Ответ на: комментарий от anonymous

> как ping of death и дыры в telnet, под которую аж червяки начали писать. Ты про линукс почитай... он тоже в некоторые периоды времени бывал дуршлагом...

iBliss
()

Sun-ch просто так новость не добавит :)

vadiml ★★★★★
()
Ответ на: комментарий от cryptosonbian

Не совсем. Я давеча поднял зону, и чуть не умер - у зон с хост-машиной (которая, в сущности тоже зона) единая пакетная система, и если я удаляю пакет в одной из зон, в других он тоже исчезает.

ugenk
()
Ответ на: комментарий от ugenk

>Я давеча поднял зону, и чуть не умер - у зон с хост-машиной >(которая, в сущности тоже зона) единая пакетная система, и если я >удаляю пакет в одной из зон, в других он тоже исчезает.

эта... когда зону создаёшь, можно указать что вся эта красота шарится
между глобальной и создаваемой зоной.
Можно просто не шарить, а указать тупо скопировать либы итп.
Тогда зоны будут независимы.

anonymous
()
Ответ на: комментарий от ugenk

Да что ты гонишь, если ты pkgrm делаешь будучи в зоне, то пакет удаляется только из этой зоны, а вот если делаешь это в глобальной зоне (без -G), то он удалится и из глобальной зоны, и из всех сконфигуренных зон. Если делаешь с -G - то только из глобальной зоны.

Вечно лоси не разберутся как следует, а уже разорались.

anonymous
()

Короче линуксоиды все в облаках летают со своим линуксом и ошибки признать очевидные не могут....

anonymous
()
Ответ на: комментарий от cryptosonbian

> А эти контейнеры с зонами в соляре не то же реализуют что и xen/openvz/vserver в линуксе?

Далеко не тоже, Container - аналог jail, Zone - виртуализация, наиболее близкая по функционалу технология к zone это xen. Но как там с динамическим управлением ресурсами ? Да и ставить его в продакшн как то кхм кхм... здоровье дороже.

iBliss
()
Ответ на: комментарий от ugenk

> Я давеча поднял зону, и чуть не умер - у зон с хост-машиной (которая, в сущности тоже зона) единая пакетная система,

Я не знаю что там у тебя поднялось но у нормально настроенная зона полностью виртуальный хост.

iBliss
()
Ответ на: комментарий от ugenk

>если я удаляю пакет в одной из зон, в других он тоже исчезает.

Неправда. Я пользователь Linux со стажем, но Solaris 10 (11/06) который прислан Sun'ом мне понравился. По сравнению с 8 и 9ткой прогресс на лицо.

robot12 ★★★★★
()
Ответ на: комментарий от cryptosonbian

>А эти контейнеры с зонами в соляре не то же реализуют что и xen/openvz/vserver в линуксе?

Sun утверждает, что openvz (virtuozzo) украли идею у них, практика показывает обратное.

rtc ★★
()
Ответ на: комментарий от Kalashmat

Дык ясен хрен, что ntp в локальной зоне никто не даст возможностей для измения системных часов.

Sun-ch
() автор топика
Ответ на: комментарий от Sun-ch

> Дык ясен хрен, что ntp в локальной зоне никто не даст возможностей для измения системных часов.

какие такие системные часы? разве сложно было реализовать свои часы в каждой зоне? не могли сразу все с openvz передрать?

MaratIK
()
Ответ на: комментарий от Kalashmat

> попробуй там драйвера лишние выкинь

Мну не разу не понял зачем ставить лишние дрова ?

> или ntp сервак запусти, обломаешься...

Хммм и что же мешает запустить ntp cервер ?

iBliss
()
Ответ на: комментарий от MaratIK

> разве сложно было реализовать свои часы в каждой зоне?

Для начала не путай апаратную эмуляцию с виртуализацией... и попробуй порассуждать зачем рекомендуется выставлять системные часы по гмт ?

iBliss
()
Ответ на: комментарий от tailgunner

> Какая разница в данном случае?

Большая. Виртуализация - не более чем окружение для реализации прикладных задач. Эмуляция - это полная отвязка от хост системы. Второе конечно более красиво, но создавать для каждой задачи отдельный логический лэер - оверхед, да и с динамическим разделением ресурсов сложнее будет.

iBliss
()
Ответ на: комментарий от iBliss

Совсем "чистых" систем виртуализации просто не существует. В чеи сложность предоставить каждому контейнеру/зоне по таймеру? Если это не сложно, почему не сделано? (принимается ответы "ХЗ" и "руки не дошли пока" :))

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

> (принимается ответы "ХЗ" и "руки не дошли пока" :))

Нет необходимости. Почему ? потому что

$ date
Втр Мар 27 14:00:41 UZT 2007
$ TZ=UTC date
Втр Мар 27 09:00:44 UTC 2007

Смог объяснить ?

iBliss
()
Ответ на: комментарий от tailgunner

Дык системные часы могут сихронизироваться очень замысловато, например через радиоканал.

A radio atomic clock system is available in North America set up and operated by NPL - the National Institute of Standards and Technology, located in Fort Collins, Rugby. NPL operates radio station MSF, which is the station that transmits the radio atomic clock time codes. MSF has high transmitter power (50,000 watts), a very efficient antenna and an extremely low frequency (60,000 Hz).

Прелагаешь каждой зоне выделять собственный приемник с аппаратным таймером?

Sun-ch
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.