Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2021-03-18 21:23:29
White_Dream - Użytkownik
- White_Dream
- Użytkownik
- Zarejestrowany: 2021-03-11
RSBAC vs Selinux
Znalazłem ciekawy projekt https://www.rsbac.org/. Bawił ktoś się tym? Jak wypada jego skuteczność w porównaniu z SELinuxem?
Offline
#2 2021-03-19 04:25:44
Jacekalex - 
Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: RSBAC vs Selinux
SELINUX to zabawka Red-hat (obecnie już IBM), który z przyczyn biznesowych jest tak pokręcony, że żeby utrzymywać politykę SELinuxa na przyzwoitym poziomie, trzeba sztab programistów.
W rezultacie łatwiej znaleźć zielonego kota w fioletowe kropki niż serwer lub komputer, w którym SELinux byłby włączony w trybie strict.
SELinux ma zapewnić opłacalność RH i przywiązanie klientów do Commercial Support oraz płatnych szkoleń dla "inżynierów RH", którzy potem pełnią obowiązki lobbystów RH.
Pod tym względem model biznesowy Red-Hat jest wzorowany na Kościele Katolickim.
W Debianie np SELinux może działać, ale spowoduje prawdopodobnie sporo dodatkowych problemów,
to samo w Gentoo czy Archu.
Dlatego poza środowiskiem Red-Hat i SUSE w Linuxie raczej używa się Apparmora, który nie jest skompilowany do postaci binarnej i ma dużo czytelniejsze logi.
Google w Androidzie wpakował się w SELinuxa, i potem z jednej strony musiał podkradać mechanizmy bezpieczeństwa z Grsecurity/Pax, bo SELinux wielu interfejsów kernela nie chronił, z drugiej strony SElinux w Androidzie nieźle chroni konto root (na czym bardzo zależy producentom telefonów), natomiast prawie w ogóle nie chroni prywatności i nie blokuje potencjalnie niebezpiecznych interakcji miedzy zainstalowanymi appkami, także kłopotów z bezpieczeństwem Androida SELinux nie rozwiązał.
Z resztą pomimo Selinuxa, i tak każdego Androida można zrootować, czy to się producentowi podoba, czy nie.
SELinux z resztą chyba zostanie tylko w Androidzie, bo jeśli Red-Hat zamyka projekt CentOS,
to tym samym likwiduje dużą społeczność, która znała systemy RH i pomagała użytkownikom z codziennymi problemami.
Podejrzewam, że za kilka lat RH będzie rywalizowało popularnością z Openindiana. xD
RSBAC jest dosyć niszowy, nie znam nikogo, kto by go używał i się tym chwalił.
Chociaż w Gentoo zdaje się były nawet kiedyś źródła rsbac-sources.
Jeżeli z resztą pytasz o takie podstawy, to zainteresuj się Apparmorem.
Jest wystarczająco skuteczny ale nie zawiera utrudnień i udziwnień, jakie widziałem w SELinuxie.
I oczywiście twórcy Apparmora są dostępni na liście mailingowej i gitlabie w razie czego.
Pozdro
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline