jelenleg 4 van a mainline kernelben: selinux, apparmor, tomoyo es smack. az RSBAC-ot meg nem neztem.
az selinuxnak vannak a legkiterjedtebb lehetosegei, en mindenkepp arra mennek a helyedben, de majd jon mindjart Hunger, es megirja, hogy fos, pedig az otlet nagyon is jo, csak volt nehany elkeffentett dolog a kernelben, amit azota fixaltak.
aztan sorban:
- igen, bevezetik a user:role:label security contextet, ez szerintem hasznos. a linuxos alap DAC nem eleg jo.
- igen. pontosabban a processekhez a process contexten keresztul, de ez reszletkerdes. es?
- pontositanal? szeritem teljesen megfeleloek.
- igen, a learning curve eleg magas, de utana... :-)
- baromsag. altalaban nem az alap hazirendet bovited, hanem bevezetsz uj labeleket, roleokat, usereket, ezekhez pedig sajat policy modult forgatsz. a teljes policy modularis, azt toltesz be, es veszel ki, amit akarsz. ennek ellenere a targeted nagyon jol atlathato.
- ... az elobbi :)
- es? miert kene? az alap, targeted policy eleg minimalis.
- pipa, tovabb:
- a base policyt (veletlen sem maghazirend) nagyon ritkan akarod felulbiralni, hiszen az tenyteg minimalis. de mutathatnal egy konkret peldat benne, ami szerinted nem kell oda.
nincs semmi ne piszkald cimke, szerintem, csak tenyleg at kell latni, de utana mar jo. en szeretem :)
PaX szakerto nem vagyok, majd megjonnek ok is, de az nem csak ASLR-bol all, illetve emulalt NX bitbol a pagekre, hanem ennel tobbbol (lasd grsec leirasok, pl stack nullazas process exitkor).