RSBAC v1.2.4

Érdekes, hogy az RSBAC -ről kevés szó esik a GrSec mellett. Vajon mennyivel tud ez kevesebbet? Mert mikor komolyabban foglalkoztam velük, ez jobbnak tünt. Csak ha jól emlékszem, ebben nincs a PaX. Össze lehet hozni a kettőt egy kernelen belül? Mert ha igen, akkor szerintem van olyan "ütős" az RSBAC, mint a GrSec és társai.

Vagy erről mi a véleményetek?

az adamantix - www.adamantix.org - patchelt kernelében benne van mindkettő. PaX, SSP, RSBAC

mindkettő: PaX, SSP, RSBAC ... szóval mindhárom. :)

Mit tud ez az SSP ?

És az RSBAC+PaX párosítás mivel tud többet/kevesebbet, mint a GrSec+PaX párosítás...?

Hmm, RSBAC hp és grsec hp mit írhat vajon? (;

RSBAC-hoz neked kell párosítanod a PaX-ot, míg grsecben már eleve párodítva van, neked csak kernelkonfigolni kell. RSBAC+PaX az az én értelmezésem szerint csak vmi access control cucc és PaX, míg a grsec az RBAC+PaX+sokmindenden más is, vagyis az access control cuccon és a PaX-on kívül chroot megszorítások, randomizáció itt-ott, tupírozott auditing, és pár egyéb dolog... ami a honlapon kíválóan le van írva.

Ha csak a párosítás, akkor talán annyira nem gond. Viszont, ha másik oldalról nézzük, RSBAC -ban a többféle modellnek köszönhetően olyan aprólékosan lehet szabályozni a hozzáféréseket, hogy csak ihaj-csuhaj... :)

Jól tudod. Ezért (is) érdekelne.

Nem csak a párosítás.

trey linkelte a két projekt honlapját, nosza, klikkeld meg őket! (;

Megklikkeltem rendesen, mondjuk az RSBAC -ét már régebb óta. De más dolog valamiről olvasni a honlapon (amely esetleg lehet sarkított is), ezért lettem volna kiváncsi a személyes véleményekre. Különösen az RSBAC -et használókéra, mert manapság mindenki a GrSec -et "nyomatja", mintha nem lenne más alternatíva. Viszont nekem pl. az RSBAC megközelítése szimpatikusabbnak tűnik. De valaki már régebb óta használja, akkor mondhat olyan véleményt, tippet, ötletet, amelyre pl. nem jövök rá elsőre. És ezért érdekelne, hogy az RSBAC tudásban és teljesítményben mennyire tudja kiváltani a GrSec -et. Esetleg a randomizációt más módon megvalósítva benne.

Ez valahol hasonlít az alma vs. körte kérdésre...

Az RSBAC egy access control framework, és csak az.

A grsecurity egy széleskörű biztonsági megoldás, melynek a PaX, a /proc szigorítások, a chroot erősítések és a sok más dolog mellett része egy access control framework is.

Nem egy kategória a kettő. Gondolom ezért "nyomatják" többen, és ezért nem alternatívája a grsecuritynek a RSBAC. Lehet, h a RSBAC jobb, mint a RBAC önmagában, de a RSBAC-ot a RBAC helyett az egész grsecurityvel összehasonlíteni szerintem nincs sok értelme.

Nyilván használhatsz RSBAC-t, de akkor vagy búcsút mondasz a grsec egyéb hasznos featurejeinek vagy pedig állhatsz neki kézzel feloldani a két patch közötti ütközéseket. A második esetben legalább lesz egy patchünk, amivel lehet egyszerre használni RSBAC-ot és a többi "hagyományos" grsecurity feature-t (;

Az Adamantix oldalat is megnezheted esetleg.

Ugye, ahogy irtak fentebb, az adamantix nem csak szimplan RSBAC-ot hasznal, viszont ok azt irjak, hogy igy, RSBAC-cal egyutt meg Pax meg minden egyutt, a kesz rendszer tobbet tud, mint a grsecurity, sot a grsecurity-t eleg gyengecskenek gondoljak.

Mondjuk igen.

Ha mindazt ösze tudnám még hozni az RSBAC -al, amit a GrSec a PaX -on és az RBAC -on kívül tartalmaz (vagyis a randomizció, stb.), akkor nagyon kellemes kis kernelpatch lenne belőle.

Azt hiszem megnézem, az Adamantix miket patch -elget bele a kernelbe... :)