- A hozzászóláshoz be kell jelentkezni
- 3053 megtekintés
Hozzászólások
dícséretes! :)
- A hozzászóláshoz be kell jelentkezni
Használ valaki AppArmort?
Desktop linuxon mindig az az első, hogy kikapcsolom.
- A hozzászóláshoz be kell jelentkezni
hiba.
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.
- A hozzászóláshoz be kell jelentkezni
Érnek valamit ezek a megoldások egy kernelhiba esetén?
suckIT szopás minden nap! Android 2.2: használhatatlan
- A hozzászóláshoz be kell jelentkezni
Ne keverd a 2őt.. Más, más biztonsági szintre van kitalálva egy SELinux/grsec mint egy apparmor - az apparmor célja, hogy egy olyan "gátat" szabjon a progi elé, ami amúgy nincs meg neki: Egy apache pl ne akarjon a filerendszeren más adatokat olvasgatni, mint ami a webhelyekhez kell ( hiába lenne hozzá amúgy joga ). Az apparmor meg pont ezért van: Ha egy proginak amúgy lenne joga olvasni bármit, ami amúgy nem kell a proginak, akkor azt le tudjuk szabályozni, hogy ez ténylegesen így is legyen. Így pl egy apache-al ne akarja senki se kiolvasni passwd file-unkat pl. ( erre emlékeim szerint akkor is joga van, ha www jogokkal futtatjuk a forkolt processeket ).
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Ez így elég jónak és értelmesnek tűnik, kérdés hogy milyen jó lesz a megvalósítás. Mondjuk ha valaki ennyit dolgozik azzal hogy a kernelbe kerüljön a munkája akkor remélhetőleg nem azért teszi hogy aztán villogjon vele.
- A hozzászóláshoz be kell jelentkezni
Az apparmor már jó ideje elérhető, sőt nem is mai termék ( anno még azt hiszem a Novell szárnyai alatt adták ki, aztán valamilyen furcsa oknál fogva fel is oszlatták a bandát ). Illetve megsúgom, hogy az Ubuntu-ban alapból benne is van ( meg azt hiszem a Süsüben is ), bár mintha csak a firefox-ra lenne alapból szabály.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Ubuntu: apparmor-profiles?
________________________________________
"The vision of Christ that thou dost see
Is my vision’s greatest enemy."
- A hozzászóláshoz be kell jelentkezni
"bár mintha csak a firefox-ra lenne alapból szabály."
Rosszul tudod.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A tévedés jogát fenntartom.. Mindazonáltal ha bármit rosszul vagy tévesen mondtam, nyugodtan ki lehet javítani, nem fog senki megsértődni..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Ahhoz, hogy érdemben folytatni lehessen ezt a beszélgetést, tisztázni kéne először azt, hogy nálad mit jelent az "alapból". Desktop, szerver, alap install next, next finish, vagy bizonyos programok telepítése esetén alapból stb.
Illetve nyilván nem mindegy, hogy melyik verzióról beszélünk, mert van eltérés.
Egy példa: ha szerver verziót telepítesz és adatbázis telepítést kérsz, akkor pl. a MySQL is használja.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Alapból: Base OS telepítés esetén. Nálam a desktopot jelentette, bár tény, hogy serveren is megállja a helyét. Az, hogy a további telepíthető programok is szállítanak apparmor profilt az más tészta, ilyen téren valóban nem néztem utána.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Ezekkel a kitételekkel akár igaz is lehet az állításod, bár volt olyan kiadás, ahol a FF-ra is tiltott volt alapból és engedélyezni kellett. Szerintem sokkal érdekesebb az, hogy egy átlag desktop telepítés esetén mit kap a felhasználó. Nálam most a notebookomom az alábbi programok használják az AppArmor-t a következő módokban úgy, hogy én gyakorlatilag nem piszkáltam az AppArmor-t:
root@alderaan:/home/trey# apparmor_status
apparmor module is loaded.
12 profiles are loaded.
11 profiles are in enforce mode.
/sbin/dhclient3
/usr/bin/evince
/usr/bin/evince-previewer
/usr/bin/evince-thumbnailer
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/sbin/cupsd
/usr/sbin/mysqld
/usr/sbin/tcpdump
/usr/share/gdm/guest-session/Xsession
1 profiles are in complain mode.
/usr/sbin/ntpd
2 processes have profiles defined.
1 processes are in enforce mode :
/usr/sbin/cupsd (9290)
1 processes are in complain mode.
/usr/sbin/ntpd (24203)
0 processes are unconfined but have a profile defined.--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
jogos.. A 10.4-ben is pont tiltva van a firefox:
root@Twitchy-Thinkpad:/etc/apparmor.d# ls -l /etc/apparmor.d/disable
total 0
lrwxrwxrwx 1 root root 31 2010-06-16 09:42 usr.bin.firefox -> /etc/apparmor.d/usr.bin.firefox
Kicsit utánanézve: Amit én látok alap telepítésnél azok ezek a default profilok:
root@Twitchy-Thinkpad:/etc/apparmor.d# ls -l /etc/apparmor.d/ |grep -v ^d |awk '/root/ {print $NF}'
gdm-guest-session
sbin.dhclient3
usr.bin.evince
usr.bin.firefox
usr.sbin.cupsd
usr.sbin.mysqld-akonadi
usr.sbin.tcpdump
Mindezt mondjuk úgy, hogy hiába van ott a profil, a gépen se cupsd, se akanadi, se evince nincs, de attól még a profilt betöltötte.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
> # ls -l /etc/apparmor.d/ |grep -v ^d |awk '/root/ {print $NF}'
omg
man find ;-)
- A hozzászóláshoz be kell jelentkezni
Ha ettől boldogabb vagy*:
root@Twitchy-Thinkpad:/etc/apparmor.d# find /etc/apparmor.d/ -maxdepth 1 -type f
/etc/apparmor.d/gdm-guest-session
/etc/apparmor.d/sbin.dhclient3
/etc/apparmor.d/usr.bin.evince
/etc/apparmor.d/usr.bin.firefox
/etc/apparmor.d/usr.sbin.cupsd
/etc/apparmor.d/usr.sbin.tcpdump
/etc/apparmor.d/usr.sbin.mysqld-akonadi
*Elszoktam már a linuxos maxdepth-től ( AIX alatt nincs )
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Kernelhiba jellegétől függ. Ahol elég egy advanced mandatory access control, ott csökkentheti a kárt, vagy megakadályozhatja a hiba kihasználását - adott esetben. Szerintem inkább a rendszeren futó programokat tartja keretek között, mintsem hogy kernel hibák ellen védene.
Az Apparmornál profibb MAC megoldások vannak persze, Linux alá több is. Csak sajnos némelyik annyira barátságtalan, hogy az egyszerű user-től nem elvárható a használata. Pláne ha már az Apparmort is alapból kinyomja...
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Nem arról volt szó, hogy most már inkább a SELinux a jövő, az Apparmor meg elavul(t)?
- A hozzászóláshoz be kell jelentkezni
És ha a LinuxSE jövő?
- A hozzászóláshoz be kell jelentkezni
Linux Squash Egylet?
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.
- A hozzászóláshoz be kell jelentkezni
"végül csak egy maradhat" :-)
- A hozzászóláshoz be kell jelentkezni