Ez osszehasonlitas volt, tudod, amikor ket kulonbozo dolog kozott elmondjuk, hogy mik a hasonlosagok vagy kulonbsegek
Ezesetben is él és továbbra is igaz a válaszom, miszerint sokkal könyebb a beállítása a grsec/RBAC-nak, mint az RSBAC-nak, amelyet ezekszerint összehasonlítás céljából hoztál fel.
Az más kérdés, hogy RSBAC nyilván nagyon sok plusz dolgot is támogat, amelyet az RBAC nem. (Ha valakinek sikerült már megvalósítani vele egy 100%-osan megfelelő La Padula modellt, amelyet gyakran emlegetnek érvként, az szóljon...)
A PAX_UDEREF eleg hulye pelda, hiszen az userland-en belul fejti ki hatasat, nem pedig a kernelterben, es a modulok kozt, mint azt a grsec teszi.
Huh. Nem. UDEREF a kernel->userland hivatkozásnál fejti ki hatását. A grsec pedig nem csinál semmit a modulok közt. :) Mind1. Mondandóm lényege az volt, hogy rengeteg olyan funkció került már be a kernelbe, amelyik egy másikat befolyásol.
Arra gondoltam, hogy mivel a grsec jelenleg a kernelen belul is inkompatibilitasokat okoz bizonyos nepszeru 3rdparty modulok hasznalatanak ellehetetlenitese miatt, igy az a disztrokban nem terjesztheto default disztrokernelkent, csak mint kulon csomagolt kernel.
Mmm. Megint csak azt tudom mondani, hogy rengeteg olyan dolog van a mainline kernelben, amelyet a disztrokernelek nem használnak, be sem fordítanak a saját kerneleikbe. Ezt sem lenne kötelező bekapcsolni/használni alapból, így továbbra sem érv ez a bekerülése ellen.
Csak ha uj szolgaltatas kerul fel, akkor ujra learning mod?
Nyilván úgy érdemes csinálni, hogy egy teszt rendszeren a bevezetésre kerülő szolgáltatásról csinálsz learning-mode segítségével egy hozzá tartozó policy filet és azt átemeled az éles rendszerbe a bevezetés során.
Mennyire egyszeru benne olyasmit beallitani amit a learning mod esetlegesen nem megfeleloen ismert fel, vagy picit bonyolultabb a beallitasa?
A grsec audit funkcióival elég gyorsan kideríthetők az esetleges problémák, amelyeket egy túl szigorú policy idéz elő. Ez learning-mode esetén ritkábban fordul elő, akkor valószínűbb, ha valaki kézzel módosítja utólag a policy filet vagy valamit változtat a szolgáltatáson.
Mellesleg ugy erzem, jogom van akkor es arrol irni, amikor es amirol szeretnek
Ez így van, csak egyrészről magadat járatod le vele, ha olyan témában nyilatkozol komolyan, amelyhez nem értesz, másrészről hiteltelenné válhatsz és utána más témák esetén sem vesz majd senki komolyan.