SELinux
Milan Keršláger
milan.kerslager na pslib.cz
Středa Květen 5 16:32:09 CEST 2004
On Wed, May 05, 2004 at 10:32:08AM +0200, Karel Zak wrote:
> On Wed, May 05, 2004 at 09:28:53AM +0200, Milan Keršláger wrote:
> > On Wed, May 05, 2004 at 08:07:15AM +0200, Karel Zak wrote:
> > > On Tue, May 04, 2004 at 03:43:54PM +0200, Jakub Jirků wrote:
> > > >
> > > > Rootem by se stat nemohl, protoze na tom pocitaci by nic jako root
> > > > neexistovalo, nebo by to alespon melo minimalni prava, zadne
> > > > natahovani modulu, sahani do /proc a podobne by se nekonalo.
> > >
> > > Otazkou je co vsechno by takovy system neumel a stoji-li to za to :-)
> > > Myslim, ze udelat takovy system a udrzovat pro to distribuci by nebylo
> > > tak snadne.
> >
> > Mluvite o SELinux a MAC (Mandatory Access Control)? Ve Fedora Core 2 to
> > bude implicitne vypnute, ale u RH je uvidentni snaha to dotahnout do
> > pouzitelneho stavu (tj. pouzitelne nastaveni SELinux pro normalni
> > distribuci).
>
> Dik za informaci. Moc jsem zatim neprocital, ale jak se tam da vyresit
> treba zachovani funkcnosti X serveru a nemoznost zapisu do kmem?
SELinux umoznuje definovat MAC. Standardni Unix pouziva DAC (tj. vse
vyplyva z UID a GID a tudiz spustenim jakehokoliv kodu pod UID 0 [root]
ziskate prava na cely system (resp. na vsechny prislusne objekty v
pripade, ze UID != 0).
MAC umoznuje definovat pravidla specificky, tj. kazdy program dostane
jen takova prava, jaka nutne potrebuje (coz je prave problem a proto to
bude ve FC2 stejne implicitne vypnute).
Jinymi slovy - pokud se podari vyrobit soubor pravidel, ktera budou
maximalne striktni a zaroven to bude vsechnmo fungovat a RPM balicky si
tuto informaci ponesou s sebou, bude vymalovano.
Co se tyka X serveru, tak ten pristupuje ke specifickemu HW a tudiz
pomoci SELinux muzete dosahnout stavu, ze chyba v X serveru povede jen k
tomu, ze "zly uzivatel" bude moc kreslit po obrazovce a na zbytek
systemu nebude mit pristup.
BTW: Exec-shield ve FC1 mel za nasledek upravy v XFree86 a i zbytku
systemu, takze na non-x86-Intel architekture lze vyuzit HW
moznosti ochrany zasobniku pomoci CPU (vivat x86_64!).
--
Milan Kerslager
E-mail: milan.kerslager na pslib.cz
WWW: http://www.pslib.cz/~kerslage/
Další informace o konferenci Linux