- A hozzászóláshoz be kell jelentkezni
- 2191 megtekintés
Hozzászólások
Milyen jól mutat ez 3 hírrel a "Linux 2.6.31 perf_counter 0day Local Root Exploit" fölött. :))
--
Wir sind erfaßt, sind infiziert,
Jedes Gespräch wird kontrolliert.
- A hozzászóláshoz be kell jelentkezni
Igen, az utobbi ket Spender megmozdulas utan elegge el is ment a kedvem tole. Viszont a grsec RBAC-jet kialakitani nem egy leanyallom, es egy update haza is vaghatja :(
Most a pax+selinux-szal kiserletezek, de nincs kernel_service classom :P
- A hozzászóláshoz be kell jelentkezni
SELinux policy-t (normálisan) kialakítani is fekete öves móka...
- A hozzászóláshoz be kell jelentkezni
Nem lehetne vagy lenne értelme ezekere a megoldásokra (pl SELinux-ra) wrapper script-et fejleszteni (akár dialog vagy whiptail-el, vagy sima konzol, tökmindegy) ami varázsló módjára megkérdezné a user-t hogy mit szeretne, illetve fel tudna ajánlani fontos alap dolgokat, amiket mindenképpen jó lenne beállítani (attól függetlenül hogy ahány user annyi igény gondolom), de mégis csökkentené a szívás per idő hányadosát? :)
- A hozzászóláshoz be kell jelentkezni
Van, redhat alapu disztrokban a policycoreutils tartalmazza ezeket, jobbara konzolos kivetelben. Van szep gui-s is, de azok eddig csak tonkretettek az elkepzelesimet :)
- A hozzászóláshoz be kell jelentkezni
Nem annyira mar. Vannak remek eszkozok hozza, pl audit2why, audit2allow nagy segitseg tud lenni sajat modul keszitesenel. A fedorban egesz jol megcsinaltak alapbol a szablyokat, eleg sok programra, legalabbis a centoshez kepest. Marmint, nem akadalyoznak, hogy biztonsag szempontjabol egy processz-t mennyire zarnak be, azt persze teljeskoruen nem tudom kiprobalni, de ami a doksikban van, azt profukalja :)
Persze a mindenfele bugokrol nem ir a doksi :)
- A hozzászóláshoz be kell jelentkezni
RSBAC egesz jo tud lenni.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Ne csüggedj, van Solaris és BSD-k. :))
--
Wir sind erfaßt, sind infiziert,
Jedes Gespräch wird kontrolliert.
- A hozzászóláshoz be kell jelentkezni
Heh. Ez még így eléggé proof of concept. A sandboxolt app egy külön Xephyres X sessionben fut, amit nem lehet átméretezni és amivel nem működik a kopipészt. Elhiszem, hogy van pár spéci eset amikor annyira kell a sandbox h. ezt leszarjuk de pl. egy rendes desktop integrációt -- pl. menükben valami "run application in a sandbox" -- ez hazavág, nem fog lemenni a júzerek torkán h. ménemmegy az a program normálisan. Ez azért kicsit levesz a Dan által emlegetett coolness faktorból, mert akkor mégis ki lenne a célközönség akire ezt rásózná?
- A hozzászóláshoz be kell jelentkezni