RSBAC

Nah, akkor nem kapok felsötétítést...? :)

[quote:b3fec8396a="netalfa"]attól, hogy az RSBAC modelljei ortogonálisak, attól még nem ellentmondásosak. más szempont a ROLE, más szempont az ACL. van, amire ezt jó használni, van, amire a másikat.

Valaki elmagyarázná pontosan, miben másabb a ROLE az ACL -nél...? És melyiket hol célszerű használni...?

[quote:897d580169="hsi"]itt eleg erthetoen le vannak irva IMHO:

http://www.rsbac.org/overview.htm
http://www.rsbac.org/models.htm#rc
http://www.rsbac.org/models.htm#acl

Persze, már le is mentettem... de úgy gondoltam, azért nem árt, ha valaki ír valami rövidebb konkrét dolgot is... :)

[quote:9e2cf34bea="norcrys"]Tud valaki magyar nyelven rsbac doksit?

Én amikor kerestem, ezt találtam:
http://www.lme.hu/rendezvenyek/konferencia/2000/anyagok/magosanyi_a.pdf

Nem sok, de érdemes elolvasni... pláne, hogy van bent elmélet is... :)

Miközben a net -en vadásztam össze a doksit az RSBAC -hoz, találtam egy ilyen védelni rendszert is: LIDS MI a véleményetek róla...? Bár asszem már nem váltok, egyet szeretnék normálisabban megismerni, és ez asszem az RSBAC lesz, de kiváncsi lennék, hogy ez szerintetek mit tud, mennyire használható, stb... :)

[quote:ed033e2c90="norcrys"]Könnyen konfigurálható, de nem annyira komplex, mint az RSBAC. Kezdőknek mindenképpen ajánlanám kipróbálni. Ennél már csak a BastilleLinux egyszerűbb, bár az sajnos nincs Debianra csak rpm és tgz csomagjai vannak.

Akkor mindenképpen megérte összevadászni azt a jópár doksit róla. Egy másik kérdés, hogy a "jogosultságokat/szabályokat" hol tárolják el ezek? Ugyanis ha ugyanazon a rendszeren van egy kernelem forgatva mondjuk LIDS -sel, és ott beállítok különféle szabályokat, az nem fogja megkeverni késöbb egy másik kernel (mondjuk RSBAC -os) alatt a dolgokat? Nyílván ott már nem töltődnek be a LIDS dolgai, de a fájlrendszer, mint olyan egy és ugyanaz... a maga meta-adataival együtt...

[quote:fa76b5d349="norcrys"]De, szerintem megkeveri, de még nem mertem éles rendszeren kipróbálni ilyet. A fájlrendszer ugyanaz, de a kernel kiszámíthatatlan dolgokat csinálhat, brrr.

Azért jó lenne, ha valaki erről mondana biztosabbat, mert most csinálok egy olyan rendszert vmware -n, aminek a segítségével tudnám tanulni / tesztelni ezeket a patch -eket...

Sziasztok...

Kíváncsi lennék, használtátok -e már az RSBAC -ot...? Ez egy biztonságnövelő kernelfolt Linux alá, amivel az erőforrásokhoz való hozzáférést sokkal finomabban lehet szabályozni, mint egyébként. Hasonlatos a GrSec -hez, de annál hatékonyabb.

Ha valaki használta már, leírná ide a tapasztalatait, véleményét, illetve azt, mire érdemes figyelni, hogy ne legyen nagy galiba? Esetleg pár dolgot arról, hogyan is kell pontosan üzemeltetni vele egy rendszert...?
Én most ismerkedem a használatával, gondolom azért vannak már páran, akik régebbóta ismerik...

Köszönöm a segítséget... :)

[quote:6a75e8f9b7="hsi"]http://books.rsbac.org/ -ot neztetek? rsbac-admin csomagban van tobb segedprobgram, amikkel eleg konnyen lehet beallitani/finomhangolni a szabalyokat. rsbac_menu az altalanos felulet.

Kösz a linket, nem ismertem... :)
Szerinted az ilyen biztonságnövelő patch-ek mennyire férnek meg egymás mellett...? Mondjuk egy kernelben az RBSAC + GrSec + SeLinux... vagy ez már nagy gányolás...? :)

[quote:29c1a8e370="norcrys"][quote:29c1a8e370="borso"]
RSBAC: file-ban
grsecurity: konfiguracios file-ban
LinSec: extended attributumokban
Medusa: daemon-ban

Roviden: itt aztan van minden

Jó volt így egyben látni az eltérő megvalósításokat egy-egy szóban. :idea:

Jah... amúgy sikerült feltennem a LIDS -t, megpróbálom minél jobban megismerni, hogy utána már ezzel a tudással és tapasztalattal vághassak neki a bonyolultabb RSBAC -nak. Mindenesetre kezdésnek ez a LIDS is elég kellemes... :)

[quote:1c21af385a="borso"]Annak mar tobb ertelme volna, ha a grsecurity ACL-tol mentesitett reszet (randomizaciok etc) hazasitanank ossze az RSBAC-cal. Az Adamantix-osok pont ezt csinaltak.

Hmmm... vajon az Adamantix -on elmegy a 2.6 -os kernel...? Mert akkor kipróbálnám egy tesztgépen... :)

[quote:b5a2c0f30a="borso"]Mar maganak az RSBAC-nak a modelljei sem ortogonalisak egymasra, hat meg a grsecurity ACL-jere..

Upsz... Én pedig úgy gondoltam (ezek szerint rosszul), hogy az RSBAC egyes hozzáférést-szabályozó modelljei konzisztensek egymással. Tehát (lehet, hogy nagy hülyeséget írok, még csak most ismerkedem a rendszerrel), pl. egy állományra egyszerre többféle modell szerint alkalmazhatok szabályokat, és egy adott jog (esemény) csak akkor lesz engedélyezve, ha egyik modell egyetlen szabálya sem zárja ki, tehát sehol sincs tiltás rá. Azaz ezeknek a modelleknek és szabályoknak a "metszete" adja a hozzáférést.

Vagy teljesen rosszul gondolom...?

[quote:8180a23a2b="hsi"]

Hmmm... vajon az Adamantix -on elmegy a 2.6 -os kernel...? Mert akkor kipróbálnám egy tesztgépen... :)

biztosan elmegy, csak a patch-eket kene 2.6-ra portolni. ezeknek tobbsege mar letezik 2.6-hoz, szoval elvileg nem nagy munka. a hivatalos Adamantix kiadasokban viszont egy jo ideig me'g tuti nem lesz, mivel helyi biztonsagi szempontokbol a 2.6-os szeria me'g nem forrott ki annyira. van valami, ami miatt csak 2.6-os kernel jo neked?

Most csak próbálgatom a dolgokat, és azért kellene a 2.6 -os kernel. De úgy gondolom, hogy most tanulgatás idejére jobban járok, ha egy Debian Woody -ra dobálom rá ezeket a patcheket. Ott aztán tudok gyakorolni 2.4 -es és 2.6 -os kernelsorozattal is. Pl. érdekelne, hogy vajon mennyire férhet össze a 2.6 -ban található ext3 ACL a szintén benne található SELinux -szal... különösen, ha az ember egy RSBAC -ot beletesz a kernelbe. Mert akárhogy is nézzük, ez már háromszintű védelmi-rendszer, még ha az első kettőt alapban tartalmazza is a kernel. Az is érdekelne, hogy RSBAC -kal a processzeket/socketeket is lehet mesteri módon vezérelni, vagy csak a fájlrendszerre lehet szabályokat felállítani? Ugyan átolvastam a doksiját, de eléggé összetett, és még sok dolog nem világos igazán... remélem gyakorlatban majd jobban megértem. Jah, a 2.6 -os kernelsorozat azért is kell, mivel kernelmodulokat készítek 2.6.x -es kernel alá... :)

Köszönöm mindenkitől a segítséget... :)