RE: Bir kullanicinin belli kullanicilarin proseslerini görmemesini saglamak kolayca mümkün mü?

[Murat Koç <muratkoc@kivi.com.tr>]

On Sat, 2007-03-24 at 20:16 +0200, Emre Sevinc wrote:
> -----Original Message-----
> From: Recai Oktas on behalf of roktas
> Sent: Sat 3/24/2007 4:45 PM
> To: debian-user-turkish@lists.debian.org
> Subject: Re: Bir kullanicinin belli kullanicilarin proseslerini
> görmemesini saglamak kolayca mümkün mü?
> 
> > yapacaklardir; bildigim kadariyla bu isin en eli yüzü düzgün çözümü
> SELinux
> > kullanmak.  SELinux alt yapisi (paketler+policy) Manoj
> Srivastava'nin büyük
> > çabalariyla Debian'da kolaylikla kullanilir hale geldi.  Google'da
> küçük
> > bir arama yaparsan ilgili NASIL belgelerine ulasabilirsin.
> 

Bir başka opsiyon da grsecurity kullanmak olabilir. 


http://www.grsecurity.net/


An intelligent and robust Role-Based Access Control (RBAC) system that
can generate least privilege policies for your entire system with no
configuration
      * Change root (chroot) hardening
      * /tmp race prevention
      * Extensive auditing
      * Prevention of arbitrary code execution, regardless of the
        technique used (stack smashing, heap corruption, etc)
      * Prevention of arbitrary code execution in the kernel
      * Randomization of the stack, library, and heap bases
      * Kernel stack base randomization
      * Protection against exploitable null-pointer dereference bugs in
        the kernel
      * Reduction of the risk of sensitive information being leaked by
        arbitrary-read kernel bugs
      * A restriction that allows a user to only view his/her processes
      * ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
      * 
      * Security alerts and audits that contain the IP address of the
        person causing the alert




Her ne kadar ben hep rsbac ile grsecurity arasında kalsam da 

rsbac'nin UNIX komutu satırı
grsecurity'nin MS-DOS komut satırı gibi olduğu 

veya 

rsbac'nin ferrari iken grsecurity'nin bisiklet olduğu 

gibi benzetmeler rsbac'nin özellikleri hakkında fikir verici olabilir.
Ki bunun yanında grsecurity'e oranla oldukça yavaş olması da ayrı bir
durum teşkil etmekte. 

Bir başka dezavantajı ile grafik (en son ncurses idi yanlış hatırlamıyor
isem) bir arabirimi olmasına rağmen kurulumu gerçekten zor ve öğrenmesi
zaman alıyor zaten bu nedenle UNIX komut satırına benzetiliyor :) 

Ben uğraşırken sadece makinanın açılmasını sağlamak için birkaç defa
tekrar tekrar konfig yapıp reboot etmem gerekmişti. 

Bu arada tabii şu an hangi versiyon üzerine dayalı olduğunu bilmemekle
beraber (en son debian stable idi) rsbac'i direkt içinde barındıran
adamantix dağıtımı da aşırı güvenlik meraklıları için ilgi çekici
olacaktır. 

Zaten dağıtımın sloganı:

"Created by administrators for administrators" 

evet hemen bir yakınlık hissediliyor değil mi :)

www.grsecurity.net
www.rsbac.org
www.adamantix.org