Strona 4 z 7
: 11 sierpnia 2014, 10:27
autor: LordRuthwen
Zastanawia mnie jedynie Twoja niechęć do SELinuxa, to nie jest złe narzędzie, ono zostało wymyślone przez NSA, ale to nie NSA (przynajmniej oficjalnie) je wdrożyło, no i SELinux nie jest całym rozwiązaniem od NSA, tylko jego częścią.
Po ogarnięciu i zrozumieniu jak działa, jest naprawdę pożyteczne i zdecydowanie zwiększa poziom bezpieczeństwa danych, szczególnie tych wystawionych na widok publiczny.
Wiem, że administratorzy dzielą się na tych co wyłączają od razu SELinux (zdecydowana większość) i tych co go konfigurują, ale warto go poznać.
: 11 sierpnia 2014, 10:42
autor: alzzen
Tak wiem, już poczytałem o nim, że ma otwarty kod a więc każdy może zajrzeć itd, także jest dość bezpieczny, ale na jego konfiguracji się nie znam i będę musiał coś poczytać, ale ciekawią mnie alternatywy dla selinuxa, są jakieś rozsądne ?
: 11 sierpnia 2014, 10:57
autor: LordRuthwen
Ja znam tylko apparmor, są chyba jeszcze jakieś, coś mi dzwoni ale nie wiem gdzie.
: 11 sierpnia 2014, 11:04
autor: alzzen
Hmm, a uważasz, że apparmor jest mniej bezpieczny ? znacząco ?
: 11 sierpnia 2014, 11:23
autor: LordRuthwen
Nigdy nie używałem. SELinuxa poznałem, mniej niż bardziej, ale w stopniu wystarczającym dla moich potrzeb i doceniam to co robi. Polecam w tym temacie dokumentację RedHata/CentOS-a, jest tam dość ładnie opisany.
: 11 sierpnia 2014, 11:42
autor: Yampress
LordRuthwen pisze:Ja znam tylko apparmor, są chyba jeszcze jakieś, coś mi dzwoni ale nie wiem gdzie.
Grsecurity
RSBAC
: 11 sierpnia 2014, 11:50
autor: LordRuthwen
A Grsecurity nie jest po prostu utwardzeniem jądra? Bo SEL działa jak cały zestaw filtrów przepływu informacji i aclek dostepu, tak w dużym uproszczeniu.
: 11 sierpnia 2014, 13:21
autor: alzzen
To może spróbuję mieć selinuxa rsbac i grsecurity na raz, to napewno powinno podnieść poziom bezpieczeństwa
Ale przeczytałem też na wiki że gdy selinux chodzi z rsbac dzieje się jakaś zależność: "While both SELinux and RSBAC enabled system have similar performance impact, LSM alone performance impact is negligible compared to the RSBAC framework alone" , dokładnie nie ogarniam .
Ogólnie te programy typu selinux,rsbac etc są po to by nie przedostały się wirusy albo żeby ktoś nie miał dostępu do jakiś moich danych na pc ?
: 11 sierpnia 2014, 18:12
autor: Yampress
Chyba żartujesz . częśc z nich robi to samo więc jaki jest sens aby kolidowały ze sobą . To raczej zmniejszenie bezpieczeństwa.
Jedynie co warto połączyć to PAX + Selinux
www.centrum.bezpieczenstwa.pl/artykuly/h9_22006_security_linux.pdf
: 12 sierpnia 2014, 11:10
autor: alzzen
Jak tam patrze to ani selinux ani pax nie mają ochrony pamięci w kompilatorze, to może dołożyć by do tego stack guard albo ssp ?