* Re: [Sysadmins] rsbac_selinux_etc
2008-11-06 21:44 [Sysadmins] rsbac_selinux_etc andriy
@ 2008-11-07 11:08 ` Ivan Fedorov
2008-11-07 11:36 ` Anton Kvashin
` (3 subsequent siblings)
4 siblings, 0 replies; 22+ messages in thread
From: Ivan Fedorov @ 2008-11-07 11:08 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 690 bytes --]
andriy <l.andriy-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:
> Hi,community!
>
> Интересует мнение людей которое пробовали такие вещи как RSBAC,
> SELinux, grsecurity и похожие.
> Что проще всего поднимается? что надёжнее всего? разработка чего
> сейчас не приостановлена?
Учитывая, что активно поддерживается разработка только у SELinux
(американцы кучу денег вбухали) то он видимо самый живой... он же в
FC/RHEL используется.
[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-06 21:44 [Sysadmins] rsbac_selinux_etc andriy
2008-11-07 11:08 ` Ivan Fedorov
@ 2008-11-07 11:36 ` Anton Kvashin
2008-11-07 12:31 ` Sergey Shilov
2008-11-07 12:39 ` Konstantin A. Lepikhov
2008-11-07 12:57 ` Sergey Shilov
` (2 subsequent siblings)
4 siblings, 2 replies; 22+ messages in thread
From: Anton Kvashin @ 2008-11-07 11:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
andriy пишет:
> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
> grsecurity и похожие.
> Что проще всего поднимается?
Selinux идет в инсталляции RedHat, Apparmor в Ubuntu (с теми что
приходилось сталкиваться). Еще есть Solaris Trusted Extensions (работал
в gui), Солярка.
В selinux есть набор базовых политик, из того что требовало определенных
действий/изучения: хостинг, не запускался clamav, работа скриптов php.
Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
(не пробовал).
Apparmor показался более прост в настройке, но читал на opennet, что его
не развивают.
> что надёжнее всего?
выключить сервер ;)
> Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и
> SELinux.
> Что советуете читать?
http://www.markelov.net/
--
Anton Kvashin
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-07 11:36 ` Anton Kvashin
@ 2008-11-07 12:31 ` Sergey Shilov
2008-11-07 12:39 ` Konstantin A. Lepikhov
1 sibling, 0 replies; 22+ messages in thread
From: Sergey Shilov @ 2008-11-07 12:31 UTC (permalink / raw)
To: sysadmins
В сообщении от 7 ноября 2008 Anton Kvashin написал:
> Apparmor показался более прост в настройке, но читал на opennet, что его
> не развивают.
В OpenSUSE SLED SLES - Apparmor штатное средство.
ИМХО совсем не бросят, т.к. спонсоры весьма серьезные.
---
С уважением
С.Шилов
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-07 11:36 ` Anton Kvashin
2008-11-07 12:31 ` Sergey Shilov
@ 2008-11-07 12:39 ` Konstantin A. Lepikhov
2008-11-08 18:50 ` foo
1 sibling, 1 reply; 22+ messages in thread
From: Konstantin A. Lepikhov @ 2008-11-07 12:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Anton!
Friday 07, at 04:36:46 PM you wrote:
> andriy пишет:
>
> > Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
> > grsecurity и похожие.
> > Что проще всего поднимается?
>
> Selinux идет в инсталляции RedHat, Apparmor в Ubuntu (с теми что
> приходилось сталкиваться). Еще есть Solaris Trusted Extensions (работал
> в gui), Солярка.
>
> В selinux есть набор базовых политик, из того что требовало определенных
> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
> (не пробовал).
Как давно вы смотрели на SELinux?
>
> Apparmor показался более прост в настройке, но читал на opennet, что его
> не развивают.
Apparmor is dead.
--
WBR et al.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-07 12:39 ` Konstantin A. Lepikhov
@ 2008-11-08 18:50 ` foo
2008-11-08 21:50 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 22+ messages in thread
From: foo @ 2008-11-08 18:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Цитирую "Konstantin A. Lepikhov":
>> В selinux есть набор базовых политик, из того что требовало определенных
>> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
>> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
>> (не пробовал).
> Как давно вы смотрели на SELinux?
Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-08 18:50 ` foo
@ 2008-11-08 21:50 ` Konstantin A. Lepikhov
2008-11-09 5:40 ` Anton Kvashin
0 siblings, 1 reply; 22+ messages in thread
From: Konstantin A. Lepikhov @ 2008-11-08 21:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi foo!
Saturday 08, at 11:50:25 PM you wrote:
> Цитирую "Konstantin A. Lepikhov":
>
> >> В selinux есть набор базовых политик, из того что требовало определенных
> >> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
> >> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
> >> (не пробовал).
> > Как давно вы смотрели на SELinux?
>
> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
Значит, ваши данные порядком устарели.
--
WBR et al.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-08 21:50 ` Konstantin A. Lepikhov
@ 2008-11-09 5:40 ` Anton Kvashin
2008-11-09 21:34 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 22+ messages in thread
From: Anton Kvashin @ 2008-11-09 5:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Цитирую "Konstantin A. Lepikhov":
>> Цитирую "Konstantin A. Lepikhov":
>>
>> >> В selinux есть набор базовых политик, из того что требовало определенных
>> >> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
>> >> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
>> >> (не пробовал).
>> > Как давно вы смотрели на SELinux?
>>
>> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
>> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
> Значит, ваши данные порядком устарели.
Конкретика? Интересно услышать современную точку зрения.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-09 5:40 ` Anton Kvashin
@ 2008-11-09 21:34 ` Konstantin A. Lepikhov
2008-11-10 6:27 ` Anton Kvashin
0 siblings, 1 reply; 22+ messages in thread
From: Konstantin A. Lepikhov @ 2008-11-09 21:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Anton!
Sunday 09, at 10:40:12 AM you wrote:
> Цитирую "Konstantin A. Lepikhov":
>
> >> Цитирую "Konstantin A. Lepikhov":
> >>
> >> >> В selinux есть набор базовых политик, из того что требовало определенных
> >> >> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
> >> >> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
> >> >> (не пробовал).
> >> > Как давно вы смотрели на SELinux?
> >>
> >> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
> >> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
> > Значит, ваши данные порядком устарели.
>
> Конкретика? Интересно услышать современную точку зрения.
Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
нормально. Кол-во написанных policy там хватает для запуска не только
clamav но и других, не менее важных вещей.
--
WBR et al.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-09 21:34 ` Konstantin A. Lepikhov
@ 2008-11-10 6:27 ` Anton Kvashin
2008-11-10 8:37 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 22+ messages in thread
From: Anton Kvashin @ 2008-11-10 6:27 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
>>>> Цитирую "Konstantin A. Lepikhov":
>>>>>> В selinux есть набор базовых политик, из того что требовало определенных
>>>>>> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
>>>>>> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
>>>>>> (не пробовал).
>>>>> Как давно вы смотрели на SELinux?
>>>> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
>>>> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
>>> Значит, ваши данные порядком устарели.
>> Конкретика? Интересно услышать современную точку зрения.
> Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
> нормально. Кол-во написанных policy там хватает для запуска не только
> clamav но и других, не менее важных вещей.
Из коробки не хочет:
Linux 2.6.18-92.1.17.el5 #1 SMP
Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't
open directory /var/clamav ERROR: Unable to open file or directory
setroubleshoot: SELinux is preventing clamd..
Clamav собран dagweer'ом, selinux предлагает restorecon (не помогает),
или создать локальную политику (не пробовал).
--
Anton Kvashin
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-10 6:27 ` Anton Kvashin
@ 2008-11-10 8:37 ` Konstantin A. Lepikhov
2008-11-10 10:18 ` Anton Kvashin
0 siblings, 1 reply; 22+ messages in thread
From: Konstantin A. Lepikhov @ 2008-11-10 8:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Anton!
Monday 10, at 11:27:46 AM you wrote:
> Konstantin A. Lepikhov пишет:
>
> >>>> Цитирую "Konstantin A. Lepikhov":
> >>>>>> В selinux есть набор базовых политик, из того что требовало определенных
> >>>>>> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
> >>>>>> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
> >>>>>> (не пробовал).
> >>>>> Как давно вы смотрели на SELinux?
> >>>> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
> >>>> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
> >>> Значит, ваши данные порядком устарели.
> >> Конкретика? Интересно услышать современную точку зрения.
> > Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
> > нормально. Кол-во написанных policy там хватает для запуска не только
> > clamav но и других, не менее важных вещей.
>
> Из коробки не хочет:
>
> Linux 2.6.18-92.1.17.el5 #1 SMP
>
> Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't
> open directory /var/clamav ERROR: Unable to open file or directory
>
> setroubleshoot: SELinux is preventing clamd..
Так если нет policy, то и не будет. Что говорит semodule -l ?
>
> Clamav собран dagweer'ом, selinux предлагает restorecon (не помогает),
> или создать локальную политику (не пробовал).
А вы попробуйте -
http://lists.rpmforge.net/pipermail/users/2007-July/000875.html
или более общий подход:
http://stewpid-litterbox.blogspot.com/2008/01/create-selinux-policy-from-audit2allow.html
--
WBR et al.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-10 8:37 ` Konstantin A. Lepikhov
@ 2008-11-10 10:18 ` Anton Kvashin
2008-11-10 12:19 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 22+ messages in thread
From: Anton Kvashin @ 2008-11-10 10:18 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
>> Konstantin A. Lepikhov пишет:
>>
>>>>> Значит, ваши данные порядком устарели.
>>>> Конкретика? Интересно услышать современную точку зрения.
>>> Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
>>> нормально. Кол-во написанных policy там хватает для запуска не только
>>> clamav но и других, не менее важных вещей.
>> Из коробки не хочет:
>>
>> Linux 2.6.18-92.1.17.el5 #1 SMP
>>
>> Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't
>> open directory /var/clamav ERROR: Unable to open file or directory
>>
>> setroubleshoot: SELinux is preventing clamd..
> Так если нет policy, то и не будет.
Выше вы написали о достаточности существующих политик.
Конечно, работа администратора состоит не из действий установил и сразу
все заработало, но с clamav этого хотелось бы (многие его юзают). С
Apparmor таких проблем нет, хоть он и не развивается (в убунте 8.10 он
на борту).
Сейчас selinux стал более информативным (отправляет в FAQ, описывает что
не так, это здорово), раньше этого не было.
>> Clamav собран dagweer'ом, selinux предлагает restorecon (не помогает),
>> или создать локальную политику (не пробовал).
> А вы попробуйте -
> http://lists.rpmforge.net/pipermail/users/2007-July/000875.html
> или более общий подход:
> http://stewpid-litterbox.blogspot.com/2008/01/create-selinux-policy-from-audit2allow.html
Clamav запускается, но не стартапом (вот моя проблема). Была замечена
проблема с /var/spool, вобщем есть над чем работать ;)
--
Anton Kvashin
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-10 10:18 ` Anton Kvashin
@ 2008-11-10 12:19 ` Konstantin A. Lepikhov
2008-11-12 5:54 ` Anton Kvashin
0 siblings, 1 reply; 22+ messages in thread
From: Konstantin A. Lepikhov @ 2008-11-10 12:19 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Anton!
Monday 10, at 03:18:33 PM you wrote:
> Konstantin A. Lepikhov пишет:
> >> Konstantin A. Lepikhov пишет:
> >>
> >>>>> Значит, ваши данные порядком устарели.
> >>>> Конкретика? Интересно услышать современную точку зрения.
> >>> Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
> >>> нормально. Кол-во написанных policy там хватает для запуска не только
> >>> clamav но и других, не менее важных вещей.
> >> Из коробки не хочет:
> >>
> >> Linux 2.6.18-92.1.17.el5 #1 SMP
> >>
> >> Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't
> >> open directory /var/clamav ERROR: Unable to open file or directory
> >>
> >> setroubleshoot: SELinux is preventing clamd..
> > Так если нет policy, то и не будет.
>
> Выше вы написали о достаточности существующих политик.
В FC эти политики есть. А что вы скачали clamav из левого репозитория и
что об этом SELinux должен был автомагически догадаться не кажется вам
странным?
>
> Конечно, работа администратора состоит не из действий установил и сразу
> все заработало, но с clamav этого хотелось бы (многие его юзают). С
> Apparmor таких проблем нет, хоть он и не развивается (в убунте 8.10 он
> на борту).
apparmor is dead :)
>
> Сейчас selinux стал более информативным (отправляет в FAQ, описывает что
> не так, это здорово), раньше этого не было.
>
> >> Clamav собран dagweer'ом, selinux предлагает restorecon (не помогает),
> >> или создать локальную политику (не пробовал).
> > А вы попробуйте -
> > http://lists.rpmforge.net/pipermail/users/2007-July/000875.html
> > или более общий подход:
> > http://stewpid-litterbox.blogspot.com/2008/01/create-selinux-policy-from-audit2allow.html
>
> Clamav запускается, но не стартапом (вот моя проблема). Была замечена
> проблема с /var/spool, вобщем есть над чем работать ;)
Ровно то же самое можно сказать и про clamav ;)
--
WBR et al.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-10 12:19 ` Konstantin A. Lepikhov
@ 2008-11-12 5:54 ` Anton Kvashin
0 siblings, 0 replies; 22+ messages in thread
From: Anton Kvashin @ 2008-11-12 5:54 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov пишет:
>>>> setroubleshoot: SELinux is preventing clamd..
>>> Так если нет policy, то и не будет.
>> Выше вы написали о достаточности существующих политик.
> В FC эти политики есть. А что вы скачали clamav из левого репозитория и
> что об этом SELinux должен был автомагически догадаться не кажется вам
> странным?
Пакет взят по ссылкам с официального сайта clamav, в RH-репо его нет.
Посмотрим спек из федоры, политики ;)
--
Anton Kvashin
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-06 21:44 [Sysadmins] rsbac_selinux_etc andriy
2008-11-07 11:08 ` Ivan Fedorov
2008-11-07 11:36 ` Anton Kvashin
@ 2008-11-07 12:57 ` Sergey Shilov
2008-11-07 21:16 ` andriy
2008-11-08 21:53 ` Konstantin A. Lepikhov
2008-11-11 17:14 ` Maxim Tyurin
4 siblings, 1 reply; 22+ messages in thread
From: Sergey Shilov @ 2008-11-07 12:57 UTC (permalink / raw)
To: sysadmins
В сообщении от 6 ноября 2008 andriy написал:
>
> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
Немного интересовался.
> Что проще всего поднимается?
Без бубна ничего.
> что надёжнее всего?
то, что поднялось.
В плане безопасности скорее SELinux, хотя все сильно зависит от политик.
> Система: ALT Server 4.0 и ALT Branch 4.1.
Ни RSBAC, ни SELinux в коробке вроде не лежат.
Для внедрения SELinux нужны:
1. Соотв. kernel
2. Компоненты SELinux
3. Компоненты (libc..., binutils, pam, ssh и т.д. и т.п.) понимающие SELinux
4. Правильные (Ваши, а не базовые) политики безопасности.
В ALT есть 1, 2 и частично 3.
В RH-FC есть 1-3 и частично 4 ( последнее с MLS за большие деньги).
> Что советуете читать?
+ к прочитанному заглянуть на
http://www.nsa.gov/selinux/index.cfm
---
С уважением
С.Шилов
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-07 12:57 ` Sergey Shilov
@ 2008-11-07 21:16 ` andriy
2008-11-07 22:22 ` Sergey Shilov
0 siblings, 1 reply; 22+ messages in thread
From: andriy @ 2008-11-07 21:16 UTC (permalink / raw)
To: hsvhome, ALT Linux sysadmin discuss
Sergey Shilov написав(ла):
> В сообщении от 6 ноября 2008 andriy написал:
>
>> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
>>
> Немного интересовался.
>
А на какие советуете обратить внимание?
>> Система: ALT Server 4.0 и ALT Branch 4.1.
>>
> Ни RSBAC, ни SELinux в коробке вроде не лежат.
>
> Для внедрения SELinux нужны:
> 1. Соотв. kernel
> 2. Компоненты SELinux
> 3. Компоненты (libc..., binutils, pam, ssh и т.д. и т.п.) понимающие SELinux
> 4. Правильные (Ваши, а не базовые) политики безопасности.
> В ALT есть 1, 2 и частично 3.
> В RH-FC есть 1-3 и частично 4 ( последнее с MLS за большие деньги).
>
>
>> Что советуете читать?
>>
> + к прочитанному заглянуть на
> http://www.nsa.gov/selinux/index.cfm
>
Спасибо - буду пробовать.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-07 21:16 ` andriy
@ 2008-11-07 22:22 ` Sergey Shilov
2008-11-08 0:07 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 22+ messages in thread
From: Sergey Shilov @ 2008-11-07 22:22 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Friday 07 November 2008 23:16:26 andriy wrote:
> Sergey Shilov написав(ла):
> > В сообщении от 6 ноября 2008 andriy написал:
> >> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
> >
> > Немного интересовался.
>
> А на какие советуете обратить внимание?
Исключительно академически, возможно стоит подробнее изучить SELinux, как
пример реализации административного управления доступом в системах с
параноидальными требованиями к безопасности (разработка АНБ США), но в АЛЬТ
SELinux не реализован в том объеме, который позволит сосредоточиться на
процессе изучения.
Если Вы не работаете в госсекторе и не связаны требованиями нормативной базы
по защите информации, то скорее всего Вам средства расширения безопасности
в -НИКС системах не понадобятся вообще.
При этом, разработчиками АЛЬТ комплексу вопросов обеспечения безопасности
уделяется достаточно много внимания. Как результат, мы имеем достаточно
защищенную ОС (что подтверждено документально эспертами в данной области).
Просто обратите внимание на систему.
--
С уважением
Сергей Шилов.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-07 22:22 ` Sergey Shilov
@ 2008-11-08 0:07 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 22+ messages in thread
From: Konstantin A. Lepikhov @ 2008-11-08 0:07 UTC (permalink / raw)
To: hsvhome, ALT Linux sysadmin discuss
Hi Sergey!
Saturday 08, at 12:22:02 AM you wrote:
> > А на какие советуете обратить внимание?
> Исключительно академически, возможно стоит подробнее изучить SELinux, как
> пример реализации административного управления доступом в системах с
> параноидальными требованиями к безопасности (разработка АНБ США), но в АЛЬТ
> SELinux не реализован в том объеме, который позволит сосредоточиться на
> процессе изучения.
бред. требования АНБ лишь частично отражены в SELinux. Читайте CC или
"Радужную книгу" до просветления %)
> Если Вы не работаете в госсекторе и не связаны требованиями нормативной базы
> по защите информации, то скорее всего Вам средства расширения безопасности
> в -НИКС системах не понадобятся вообще.
> При этом, разработчиками АЛЬТ комплексу вопросов обеспечения безопасности
> уделяется достаточно много внимания. Как результат, мы имеем достаточно
> защищенную ОС (что подтверждено документально эспертами в данной области).
> Просто обратите внимание на систему.
Ставьте Windows и не парьтесь, уж там-то все требования АНБ соблюдены %)
--
WBR et al.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-06 21:44 [Sysadmins] rsbac_selinux_etc andriy
` (2 preceding siblings ...)
2008-11-07 12:57 ` Sergey Shilov
@ 2008-11-08 21:53 ` Konstantin A. Lepikhov
2008-11-08 23:05 ` andriy
2008-11-11 17:14 ` Maxim Tyurin
4 siblings, 1 reply; 22+ messages in thread
From: Konstantin A. Lepikhov @ 2008-11-08 21:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi andriy!
Thursday 06, at 11:44:40 PM you wrote:
> Hi,community!
>
> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
> grsecurity и похожие.
Как вы можете смешивать такие вещи как SELinux и grsecurity? :)
> Что проще всего поднимается? что надёжнее всего? разработка чего сейчас
> не приостановлена?
> Для чего нужно:
> 1 задача - для преподавания студентам, как пример - показывать как
> практически реализовать "Оранжевую книгу"
для преподавания надо самому понять теорию. Вы смешиваете такие вещи как
аудит и защищенная система.
> 2 задача - организация защищенного сервера (файл, www), возможно рабочих
> мест небольшой организации.
OpenVZ и никаких гвоздей.
>
> Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и SELinux.
> Система: ALT Server 4.0 и ALT Branch 4.1.
>
> Что советуете читать?
Читать для чего? Для преподавания или для защиты? :)
--
WBR et al.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-08 21:53 ` Konstantin A. Lepikhov
@ 2008-11-08 23:05 ` andriy
2008-11-09 18:58 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 22+ messages in thread
From: andriy @ 2008-11-08 23:05 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Konstantin A. Lepikhov написав(ла):
> Hi andriy!
>
> Thursday 06, at 11:44:40 PM you wrote:
>
>
>> Hi,community!
>>
>> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
>> grsecurity и похожие.
>>
> Как вы можете смешивать такие вещи как SELinux и grsecurity? :)
>
О grsecurity вообще практически ничего не знаю. Только из результатов
гугления RSBAC vs SE Linux.
Потому и в рассылку написал.
Пока читал статьи о RSBAC и SE Linux (из альта документация + статьи).
Сейчас буду пробовать на практике SE Linux что бы попробовать разобраться.
>
>> Что проще всего поднимается? что надёжнее всего? разработка чего сейчас
>> не приостановлена?
>> Для чего нужно:
>> 1 задача - для преподавания студентам, как пример - показывать как
>> практически реализовать "Оранжевую книгу"
>>
> для преподавания надо самому понять теорию. Вы смешиваете такие вещи как
> аудит и защищенная система.
>
Теперь буду знать. С теорией знакомлюсь.
Есть концепция - она в "оранжевой книге", есть конкретное
законодательство - как реализация концепции.
Но это требования. А на чем реализовывать систему, как пример думаю.
Потому и спрашиваю.
Как мне кажется прежде чем кого-то чему то учить нужно самому научиться
и понять, что сейчас и делаю.
>> 2 задача - организация защищенного сервера (файл, www), возможно рабочих
>> мест небольшой организации.
>>
> OpenVZ и никаких гвоздей.
>
Согласен. Но интересует SE Linux.
>
>> Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и SELinux.
>> Система: ALT Server 4.0 и ALT Branch 4.1.
>>
>> Что советуете читать?
>>
> Читать для чего? Для преподавания или для защиты? :)
>
Для первого и второго.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-08 23:05 ` andriy
@ 2008-11-09 18:58 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 22+ messages in thread
From: Konstantin A. Lepikhov @ 2008-11-09 18:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi andriy!
Sunday 09, at 01:05:04 AM you wrote:
> Konstantin A. Lepikhov написав(ла):
> > Hi andriy!
> >
> > Thursday 06, at 11:44:40 PM you wrote:
> >
> >
> >> Hi,community!
> >>
> >> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
> >> grsecurity и похожие.
> >>
> > Как вы можете смешивать такие вещи как SELinux и grsecurity? :)
> >
> О grsecurity вообще практически ничего не знаю. Только из результатов
> гугления RSBAC vs SE Linux.
> Потому и в рассылку написал.
> Пока читал статьи о RSBAC и SE Linux (из альта документация + статьи).
> Сейчас буду пробовать на практике SE Linux что бы попробовать разобраться.
Чтобы смотреть на SELinux надо ставить либо RHEL, либо FC. В ALTLinux
SELinux нет.
> >
> >> Что проще всего поднимается? что надёжнее всего? разработка чего сейчас
> >> не приостановлена?
> >> Для чего нужно:
> >> 1 задача - для преподавания студентам, как пример - показывать как
> >> практически реализовать "Оранжевую книгу"
> >>
> > для преподавания надо самому понять теорию. Вы смешиваете такие вещи как
> > аудит и защищенная система.
> >
> Теперь буду знать. С теорией знакомлюсь.
> Есть концепция - она в "оранжевой книге", есть конкретное
> законодательство - как реализация концепции.
"Оранжевая книга" - это вообще-то часть "Радужной серии". Т.е. для
понимания нужно прочитать все-таки больше, чем одну часть.
> Но это требования. А на чем реализовывать систему, как пример думаю.
> Потому и спрашиваю.
> Как мне кажется прежде чем кого-то чему то учить нужно самому научиться
> и понять, что сейчас и делаю.
> >> 2 задача - организация защищенного сервера (файл, www), возможно рабочих
> >> мест небольшой организации.
> >>
> > OpenVZ и никаких гвоздей.
> >
> Согласен. Но интересует SE Linux.
Интересно, что вы подразумеваете под "защитой рабочих мест небольшой
организации" :)
>
> >
> >> Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и SELinux.
> >> Система: ALT Server 4.0 и ALT Branch 4.1.
> >>
> >> Что советуете читать?
> >>
> > Читать для чего? Для преподавания или для защиты? :)
> >
> Для первого и второго.
И для первого, и для второго нужно менять дистрибутив :)
--
WBR et al.
^ permalink raw reply [flat|nested] 22+ messages in thread
* Re: [Sysadmins] rsbac_selinux_etc
2008-11-06 21:44 [Sysadmins] rsbac_selinux_etc andriy
` (3 preceding siblings ...)
2008-11-08 21:53 ` Konstantin A. Lepikhov
@ 2008-11-11 17:14 ` Maxim Tyurin
4 siblings, 0 replies; 22+ messages in thread
From: Maxim Tyurin @ 2008-11-11 17:14 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
andriy writes:
> Hi,community!
>
> Интересует мнение людей которое пробовали такие вещи как RSBAC,
> SELinux, grsecurity и похожие.
> Что проще всего поднимается? что надёжнее всего? разработка чего
> сейчас не приостановлена?
grsecurity из другой оперы.
RSBAC настраивать легче. SE более распространен.
В ALTLinux нет ни того, ни другого.
Разработка обоих проектов ведется.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 22+ messages in thread