-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Dnia sob 18. października 2003 18:59, napisałeś:
Krzysztof Jóźwiak wrote:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Dnia sob 18. października 2003 16:43, [LocK] napisał:
Witam
Czy ktos z gropowiczow uzywa patch'a Lids i programu lidstools ?
jezeli chesz się pobawić czymś takim to juz lepiej zainteresuj się
rsbackiem (www.rsbac.org) oraz (albo) adamantixem...
Ale dlaczego czym one sie ruznia/ w czym sa podobne ?
mhh, zrobie Ci troche wykładu więc się nie gniewaj.
1.
Istnieje wiele patchy na jądro zwiększających bezpieczeństwo
systemu Linuks. Wszystkie one mają podstawowy cel: rozszerzyć standardowy
model rwxrwxrwx o dodatowe elementy pozwalające lepiej zadbać o
bezpieczeństwo. Do najpopularniejszych należą: LIDS, grsecurity, patch NSA
(SElinux) oraz RSBAC (mało popularny w Polsce).
www.lids.org
www.grescurity.net
www.nsa.gov/selinux
www.rsbac.org
2.
Podstawowy problem z bezpieczeństwem Linuksa to wszechmocny root. Problemem
jest to iż duża część programów musi działać z uprawnieniami roota aby dostać
się do np. uprzywilejowanych portów (poniżej 1024). Dlatego powyższe patche
na jądro zabierają mu część uprawnień tworząc tak zwane listy dostępu (ACL na
poziomie jądra). Patche te pozwalają określić jaki program (temat) ma dostęp
do czego (czyli objektu) np. pliku /etc/passwd czy portu nr. 20.
3.
Istnieje jednak również coś takiego jak role. Powiedzmy iż nadajesz własnie
takie dokładne uprawnienia do pewnych katalogów pewnemu użytkownikowi
powiedzmy webmasterowi, który opiekuje się również wirtualnymi serwerami
klientów (ich stronami), aby mógł wykonywać swoją robotę. Zauważ iż musi on
mieć przynajmniej część uprawnień administratora aby edytować pliki apache i
móc go restartować. No dobrze możemy mu je dać przy pomocy własnie ACLi
(czyli kto ma dostęp do czego) ale co będzie gdy zmieni się osoba opiekująca.
Tutaj wkraczają role: użytkownik może mięc rolę np. webadmin a gdy zmieni się
jego praca zmieniamy mu rolę.
W role wyposzażony jest RSBAC i chyba selinux.
Lids raczej nie (o ile pamiętam).
grsecurity pragnie miec role ale chyba ich jeszcze nie ma (czytałem
dokumentacje kilka tygodni temu do niego).
4. A teraz zalety i wadi każdego patcha:
. selinux: chyba najciekawszy ale jest jeden problem: wykorzystuje patenty (i
jest z NSA), wiec w przyszłości mogą być problemy prawne z nim.
Poza tym nie ufam NSA. Jednak ma wsparcie w jądrach 2.6 oraz chyba debian w
przyszłości (ale kiedy ja to słyszałem, ho ho ho) ma go używać standardowo.
rsbac: najtrudniejszy w obsłudze ale chyba najlepszy: moduła budowa, tworzony
niezależnie i na licencji GPL. I co może być dla ciebie ważne istnieje
(powstaje) dystrybucja Adamantix, która jest "ulepszonym" Debianem.
Co jest ważne: istenieje testowa płyta CD na której możesz poćwiczyć
oraz patch ma graficzne (w ncurses) narzędzie do obsługi,
lids: znany i lubiany. Istnieje nawet polska dokumentacja. Brak mu jednak ról
(chyba) no i nie ma ani graficznego narzędzia ani płyty testowej. Jednak jest
w miarę prosty w konfigurajcji.
Podsumowanie
Jeżeli potrzebujesz na szybko: lids, jeżeli masz więcej czasu: grsecurity.
- --
Pozdrawiam
Krzysztof Jóźwiak
Administrator serwerów linuksowych
w firmie Laser Systemy Informatyczne (www.laser.pl)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQE/kXa/MlL0SqsooAsRAg6cAKC8FpkjNhhhVgXqsS9rPtRphYpIfACfbAhG
ydzo1+/NCdS21y0ZuTOOfIY=
=QsW5
-----END PGP SIGNATURE-----