SELinux

Milan Keršláger milan.kerslager na pslib.cz
Středa Květen 5 16:32:09 CEST 2004 

On Wed, May 05, 2004 at 10:32:08AM +0200, Karel Zak wrote:
> On Wed, May 05, 2004 at 09:28:53AM +0200, Milan Keršláger wrote:
> > On Wed, May 05, 2004 at 08:07:15AM +0200, Karel Zak wrote:
> > > On Tue, May 04, 2004 at 03:43:54PM +0200, Jakub Jirků wrote:
> > > > 
> > > > Rootem by se stat nemohl, protoze na tom pocitaci by nic jako root
> > > > neexistovalo, nebo by to alespon melo minimalni prava, zadne
> > > > natahovani modulu, sahani do /proc a podobne by se nekonalo.
> > > 
> > >  Otazkou je co vsechno  by takovy system neumel a stoji-li  to za to :-)
> > >  Myslim, ze udelat takovy system a  udrzovat pro to distribuci by nebylo
> > >  tak snadne.
> > 
> > Mluvite o SELinux a MAC (Mandatory Access Control)? Ve Fedora Core 2 to
> > bude implicitne vypnute, ale u RH je uvidentni snaha to dotahnout do
> > pouzitelneho stavu (tj. pouzitelne nastaveni SELinux pro normalni
> > distribuci).
> 
>  Dik za informaci. Moc jsem zatim neprocital, ale jak se tam da vyresit
>  treba zachovani funkcnosti X serveru a nemoznost zapisu do kmem?

SELinux umoznuje definovat MAC. Standardni Unix pouziva DAC (tj. vse
vyplyva z UID a GID a tudiz spustenim jakehokoliv kodu pod UID 0 [root]
ziskate prava na cely system (resp. na vsechny prislusne objekty v
pripade, ze UID != 0).

MAC umoznuje definovat pravidla specificky, tj. kazdy program dostane
jen takova prava, jaka nutne potrebuje (coz je prave problem a proto to
bude ve FC2 stejne implicitne vypnute).

Jinymi slovy - pokud se podari vyrobit soubor pravidel, ktera budou
maximalne striktni a zaroven to bude vsechnmo fungovat a RPM balicky si
tuto informaci ponesou s sebou, bude vymalovano.

Co se tyka X serveru, tak ten pristupuje ke specifickemu HW a tudiz
pomoci SELinux muzete dosahnout stavu, ze chyba v X serveru povede jen k
tomu, ze "zly uzivatel" bude moc kreslit po obrazovce a na zbytek
systemu nebude mit pristup.

BTW: Exec-shield ve FC1 mel za nasledek upravy v XFree86 a i zbytku
     systemu, takze na non-x86-Intel architekture lze vyuzit HW
     moznosti ochrany zasobniku pomoci CPU (vivat x86_64!).

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/~kerslage/

Další informace o konferenci Linux