Re: Bir kullanicinin belli kullanicilarin pro
Murat Koç wrote:
Bir başka opsiyon da grsecurity kullanmak olabilir.
http://www.grsecurity.net/
* Reduction of the risk of sensitive information being leaked by
arbitrary-read kernel bugs
* A restriction that allows a user to only view his/her processes
* ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
*
* Security alerts and audits that contain the IP address of the
person causing the alert
Her ne kadar ben hep rsbac ile grsecurity arasında kalsam da
rsbac'nin UNIX komutu satırı
grsecurity'nin MS-DOS komut satırı gibi olduğu
Alternatif öneriler icin tesekkürler. Bu durumda GNU/Linux ortaminda
SELinux, AppArmor,
grsecurity ve rsbac seklinde 4 alternatif görünüyor.
Bu arada tabii şu an hangi versiyon üzerine dayalı olduğunu bilmemekle
beraber (en son debian stable idi) rsbac'i direkt içinde barındıran
adamantix dağıtımı da aşırı güvenlik meraklıları için ilgi çekici
olacaktır.
Bu yazilanlardan anladigim kadari ile, SELinux'a yüzeysel olarak
baktigimda gördügüm gibi,
ne kadar esneklik ve güclü güvenlik sunuyorsa kullanmasi, ögrenme egrisi
o kadar mesakkatli gibi.
Tüm bu alternatiflerin güvenlik acisindan belli standartlara göre
kiyaslandigi bir arastirma epey
faydali olabilirdi.
Diger yandan su anda genel anlamda UNIX acisindan düsündügümde hala bana
Solaris 10'daki
yapilandirma en kolayi gibi görünüyor (belki sistemle birlikte hazir
geldiginden) ama tabii pratik
olarak ugrasmadigim icin yaniltici da olmus olabilir bundan bahseden makale.
Masum bir "bunu yapmanin bir yolu var midir acep?" sorusu sayesinde pek
cok sey ögrenmeme
yardim eden herkese tesekürler.
Bu arada gördügüm kadari ile bazilari tarafindan bu sorum pek masum
algilanmiyor, hemen akillara
rootkit cagrisimi filan geliyor ;-)
http://www.yalazi.org/index.php/archives/2007/03/27/neden-surec-gizlenir/
Tabii ki benim talebimde özel olarak bir proses görünmesin degil,
kullanici bazinda tüm prosesler
görünsün görünmesin seklinde idi ama demek ki bu sekilde yanlis
anlasilabiliyor, buradan aklima
su geldi acaba bu benim talebim güvenlik acisindan hicbir sey ifade
etmeyen bir talep mi? Böyle
olsaydi bu tür Linux, Solaris, vs. güvenlik catilari bunu neden sunsundu?
--
Emre Sevinç
eMBA Yazılım Geliştirme
İstanbul Bilgi Üniversitesi
Reply to: