Евала на такива борци за свобода :)

Поздрави,
gamehack

[Отговори на този коментар]

Цитирам:

"Почти аналогичен проект като функционалност е SELinux на NSA"

Това е ултра невярно и е голямо изхвърляне. RSBAC е остарял като функционалност вариант и има исторически характер от гледна точка на функционалност. SELinux покрива функционалността на RSBAC и има доста надстройки и схеми (повечето са обектно ориентирани). Т.е. браво на тези момчета, но да стъпят на остаряла схема и на пакети със зачатъци на електронно подписване и да рекламират това за използваемо за военни проекти е меко казано весело:)

Не че някой ще ме разбере:) но не смятам да организирам курсове по системи с мандатен достъп, поне докато не ми остане време.

Да не говорим, че в рамките на една дистрибуция интеграцията на SELinux започва от пакетната система (т.нар. "затворен цикъл" в програмното осигуряване). Пакетът носи т.нар. начален контекст (обекти). Примерче:

# rpm -q --fscontext httpd
...
/usr/sbin/apachectl     system_u:object_r:sbin_t
/usr/sbin/httpd system_u:object_r:httpd_exec_t
...

Всъщност схемата на контекстен подбор на пакта позволява да се извърше реконтекстиране (промяна на обекти с онаследяване) и да се изпочне градиране на мандат.

Затворения модел пакетна система --> пакет с контекст --> система с контекст / реконтекст обвит с електронно подписване, прави една система максимално сигурна и гъвкава.

Всичко друго са вариации върху изчерпана функционалност и малко опасни опити в внушаване на доверие в нещо, което по принцип леко куца с удостоверителни схеми и наследяване на доверие.
Редактиран на: 12-12-2004@14:09

[Отговори на този коментар]

Към: малко весело
От: Н. Антонов <nikola __@__ linux-bg__dot__org>
На: 12-12-2004@15:11 GMT+2
Оценка: 1/Неутрален

Весо, приемам забележките, въпреки че не точно аз съм автора на това твърдение, което те е смутило. Може да е било вярно в миналото и нещата вече да са се променили. Не знам, при опитите си да се запозная със SELinux установих, че все още не е лъжица за моите уста.

Важното е да има повече такива проекти и никой да не смее да говори врели некипели, че Линукс имал такива и такива проблеми със сигурността.

Иначе бих се радвал да видя от теб някаква прилична документация за SELinux на български.

[Отговори на този коментар]

---

Към: Към: малко весело
От: Beco <vlk (a) lcpe< dot >uni-sofia< dot >bg>
На: 12-12-2004@15:43 GMT+2
Оценка: 1/Неутрален

:) ааа.. не е към теб... Аз четох това весело изказване и преди в техни презентации. Те и по форумите се спичат да обяснят какво им е толкова сигурното. Но:) нека хората работят и се учат. Никой не ги спира. Т.е. не се засягай от неща, които не за предназначени за теб.

А за SELinux - ще има курс във ФМИ първо за хората от проекта OpenFMI - с Митко трябва да инсталираме залите с Fedora Core 3 и всички инсталации да са със активиран SELinux. Щото да се обясняват нещата на хартия си е доста неудобно. Да не говорим, че SELinux е толкова неинтуитивен, че трябва да имам феноменален опит в презентации за да го представя в някакъв разбираем вид. Курса ще е в компютърна зала и всеки ще може да пипа и прави. Курс по SELinux извън компютърен клас аз не мога да си представя. Ако някой може, ще съм радостен да го направи.

После може да се помисли за това да се направи курс за студенти от ФМИ и прочие. Също така да се пусне един публичен SELinux базиран сървър и всеки да влиза и да човърка. Много ми се ще да се демонстрира контекстно онаследяване по пакетна система, както е в RPM (ел. подпис->MD5 проверка преди контекст->влизане на файл в контекст след проверка). С ужас открих, че в една уж популярна и много претенциозна дистрибуция, един инсталиран пакет се интегрира към SELinux полиси след като се инсталира. Полисито трябва да идва с пакета и пакетната система при инсталация да подчинява файловете на контекста. Така пробив просто не може да има. Иначе може човек да контекстира пробит пакет и да направи супер контекстирани бели:)))
Редактиран на: 12-12-2004@15:46

[Отговори на този коментар]

---

Към: Към: Към: малко весело
От: GigaVolt <gigavolt __@__ abv< dot >bg>
На: 12-12-2004@16:02 GMT+2
Оценка: 1/Неутрален

А на мен ми се иска да попитам нещо. Има ли вероятност този курс да не е само за студенти от ФМИ :)

[Отговори на този коментар]

---

Към: Към: Към: Към: малко весело
От: Beco <vlk __@__ lcpe< dot >uni-sofia< dot >bg>
На: 12-12-2004@20:40 GMT+2
Оценка: 1/Неутрален

Ами има такава вероятност. Но все пак базата с компютрите е на ФМИ и техните студенти трябва да имат приоритет. Затова първо ще го анонсираме за студенти

Според мен е наистина редно този курс да има и отворен за всички вариант. Поемам ангажимента да се направи анонс за отворен курс по SELinux и сродни решения (не само по едно решение, както някой засегнати тук казаха, макар в момента то да е водещото - има голямо ядро разработчици). За целта обаче трябва да видя дали времето ми може да "смести" още един ангажимент.

Ще държа в течение посетителите на този портал за това ми решение, освен това ще разчитам на помощта на още хора за да стане курса добър. По-голям екип може да направи по-добър курс. Това искам да кажа.
Редактиран на: 12-12-2004@20:43

[Отговори на този коментар]

---

Към: малко весело
От: Rumen Yotov
На: 12-12-2004@15:19 GMT+2
Оценка: 1/Неутрален

Здравейте,
Признавам, че леко се подразних от предишния  
(на Весо) коментар. Дори и в документите  
(pdf-и) на сайта на SELinux няма чак толкова  
субективни сравнения, за тяхна чест нещата  
написани там са доста по-обективни и  
аргументирани. Изтъкват се някои обективни  
предимства на Flask-архитектурата, но пък  
реално има и някои допълнителни предимства  
на RSBAC+PaX. Нямам нищо против SELinux,
просто RSBAC (adamantix) повече ми харесва
тъй като включва три независими, доказани
проекта: SSP(propolice)+PIE/PIC, PaX и
RSBAC, всеки от които вече се е доказал.
Мисля, че тук голяма тежест има принципа за
проблема с монокултурата :-) MS.
Примерa, който давам се отнася главно за  
Gentoo, но пък това е дистрибуцията, където  
има поне три ;-)(grsecurity, RSBAC, SELinux)
стари/стабилни проекти, касаещи сигурността.
Дори съвсем отскоро (23.11.2004)в SElinux
(stages-experimental) са въведени pie,ssp
(опциите за защита на стека от препълване и
shared-elfs), но все още няма PaX, който е
един от основните стълбове (като
функционалност) на grsec2 и на
RSBAC/adamantix.
Вероятно може да се дискутира още дълго, но
засега толкова.
PS: дори чак сега и за Microsoft ;-) се
появяват продукти с PaX функционалност.
Румен

[Отговори на този коментар]

---

Към: Към: малко весело
От: Beco <vlk__at__lcpe[ точка ]uni-sofia[ точка ]bg>
На: 12-12-2004@17:01 GMT+2
Оценка: 1/Неутрален

Дразни се:) Безплатно е.... Просто нямам време да пиша чак толкова детайли и затова говоря по същество. По-добре да се опише нещо подробно, а не да нахвърляме просто термини. Да, ще има курс и там ще има детайлно описание. И не на базата "това ми харесва", а на база сравнителни таблици... Тогава заповядай и ще говорим наистина в датайли. Става дума за събитие през месец януари:) Скоро е...
Редактиран на: 12-12-2004@17:03

[Отговори на този коментар]

---

Към: Към: Към: малко весело
От: Rumen_Yotov <rumen_yotov (a) dir[ точка ]bg>
На: 12-12-2004@17:18 GMT+2
Оценка: 1/Неутрален

Здравей,
Не си спомням някой да е говорил за платено/безплатно та да се радвам, а ако целта ти е била аз да се дразня, постигна я - и какво?
По-важното е наистина да се видят нещата с факти, за това си има сайтове, предполагам не ти си написал SELinux-а (ако си участвал - се извинявам) така че който се интересува да отиде, да види, да прочете, да прецени.
Благодаря за поканата, но ако ще е нещо от сорта на "това е единственото, всички други са 'овехтели' и т.н." мисля че нямам толкова време за губене. Иначе с удоволствие.
Аз поне си признавам, че не съм инсталирал/работил със SELinux, обаче доста четох, но просто за да имам представа, иначе работя с grsec2 и RSBAC+PaX+PIC/PIE.
Без лоши чувства
Румен

[Отговори на този коментар]

---

Към: Към: Към: Към: малко весело
От: Beco <vlk (a) lcpe__dot__uni-sofia__dot__bg>
На: 12-12-2004@18:18 GMT+2
Оценка: 1/Неутрален

Когато не говориш в стил "депутат" сигурно си много добър събеседник...

[Отговори на този коментар]