|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Maxim Timofeyev 2:5030/1763.1 09 Mar 2003 15:35:56
To : Anton Shuko
Subject : Re: что можно накрутить в плане защищенности системы ?
--------------------------------------------------------------------------------
MT>> накладывать патчи на ядро. Хотя я использую Openwall + RSBAC.
AS> и ты привязан к нему якорем.
В каком смысле?
AS> главное - ядро. все остально подбираешь по вкусу.
RSBAC накладывается на ядро, а не на систему. =)
Ямогу vanilla kernel + RSBAC использовать хоть на RedHat 8.x...
AS> тогда приведу пример еще одной подобной системы, которая тоже сама в
AS> себе - lids.
LIDS -- это кривое убожество. Я с ним работал.
AS> некое подобие acl от grsec и рут там ограничивается до уровня простого
AS> юзера.
В RSBAC также входят ACL.
AS> но проблема в том, что включив эту херню ты потом удаленно никаких
AS> изменений внести не сможешь :)
Можешь -- я же могу. Hе на всех машинах. Для критичных случаев лучше
приехать... А так -- ssh'у разрешить пускать secoff'а и готово...
AS> а опенвал для ядер 2.4 долго не было,
AS> а как появился так и до сих пор ходит в виде тестовой версии.
Я в курсе -- постоянно переписываюсь с Соляром.
AS> я же с 2.2 на 2.4 полностью пересел с выходом версии 2.4.18
Вот теперь я использую 2.4.20 + pre5 + pre5-ac1 + 2.4.20-ow0 + RSBAC.
Главное, что работает все с успехом. В качестве платформы использую --
Openwall. Hо 2.4.x я использую в основном из-за полноценного NAT'а и пр.
фич, нужных роутерам.
MT>> Этот патч только jail дает? Hафиг он (такой патч) тогда нужен?
MT>> jail -- не панацея. В этом плане RSBAC лучше -- там общий рут опущен
MT>> почти до рядового пользователя и добавлен офицер безопасности. Короче
MT>> как в оранжевой книге для класса B2, примерно. Вместе с Openwall'ом
MT>> получаем небольшой пронепоезд.
AS> этот патч дает кучу других фич, которых несколько десятков, задаются при
AS> компиляции ядра и большинство из них рулится через sysctl (если не
AS> отключишь руление).
RSBAC тоже такое же. ;) Ты только посмотри на него. Вещь достаточно
продвинутая. Там недоделан только dataprot -- второй пользователь, типа
secoff'а...
AS> накладываешь на ядро, берешь какой хочешь дистрибутив линуха
AS> (мне трастикс нравится) и делаешь из него что хочешь,
AS> например я джайл сделал (помимо других заюзанных фич).
Повторюсь -- в RSBAC входит jail. Да и вообще есть реализация jail под
Linux. Только это уже не совсем jail, а целая VM со своим ядром и т.п.
AS> а это защита памяти от выполнения хакерского кода, рандомизация
Это случаем не из Opewall'а выдрано? ;) Слыхал я о каком-то патче на
ядро, который на самом деле сборник чужих патчей...
AS> ACL system features
grsecurity-is a set of security patches for Linux 2.4 that contain all the
features of Openwall and HAP-Linux, among many other patches for 2.2,
and other OSes. It features the Openwall non-executable stack, PaX, the
Oblivion ACL system, /proc restriction
Это он и есть. ;) Что-то о нем я сильно отрицательное слышал...
Попробую поузнавать мнение у грамотных людей.
--
0BDE AC68 5418 B40A 0C85 C081 037A 6542 55F6 ADEC
[2:5030/1763@fidonet.org][tmahome@tma.spb.ru][http://tma.spb.ru]
--- tin/1.5.10-20011117 ("Darkcell") (UNIX) (Linux/2.4.18-alt9-up (i686))
* Origin: TMA at HOME (2:5030/1763.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
