Konfigurace SELinuxu (TeX)

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Čtvrtek Leden 4 01:34:21 CET 2007 

On Mon, 1 Jan 2007, Jan Kasprzak wrote:

> 	No, zjistil jsem, ze situace neni az tak katastrofalni.
> Ve FC6 je tzv. "modularni bezpecnostni politika", ktera umoznuje vyrabet
> si jen kousky urcitych omezeni, a z toho stavet celkovou bezpecnostni
> politiku.

Zajímavé. Jenom mám pocit, že jim tam vzniká taková menší kombinatorická
exploze, jelikož ve většině modulu potřebují uvádět nějaká speciální
pravidla pro jiné moduly, což není moc modulární.

Je to těžké. (De)kompozice bezpečnostní politiky je velmi zajímavý a
teoreticky dosud ne úplně zvládnutý problém.

> 	Vztah SELinux <--> Reference policy mi pripomina jiny podobny
> vztah, a to sendmail <--> soubory cf/*/*.m4 (dokonce Reference policy
> je taky generovana m4kou :-).

Nejsem si jistý, jestli tohle přirovnání nemá spíš negativní konotace. :)

> 	Ano, taky by to mohlo byt reseno urovnemi integrity, ale to by
> nezapadalo rozumne do zbytku systemu, rekl bych. Nicmene i urovne
> integrity Reference policy umi. Ale prece jen pres ty typy/domeny/role
> mi to prijde prirozenejsi.

Koukám na to na <http://oss.tresys.com/projects/refpolicy> a nějak tam
speciální podporu pro hierarchický model integrity nevidím. Je tam cosi
využívající rozšíření SELinuxu pro MLS (to nám ten SELinux pěkně směřuje
k RSBACu s jeho přístupem "jak pejsek s kočičkou vařili dort"...), ale to
je zjevně zaměřeno na důvěrnost a la BLP (i když by šlo použít to, že jsou
důvěrnost a integrita v zásadě duální). Možná jsem jen slepý.

Nicméně hierarchický model (BLP, Biba) lze v zásadě realizovat i v čistém
TE. Je to spíš způsob, jak správně použít TE, aby byly zaručeně vyloučeny
určité druhy toku informací (zanedbáme-li skryté kanály a rafinovanosti
jako je polyinstanciace).

V našem případě z toho například plyne, že by k typům reprezentujícím ty
nedůvěryhodné vstupní soubory a výsledky jejich zpracování a případně
jakýmkoli dalším typům objektů, do kterých může být "nedůvěryhodný TeX"
zapisovat, neměla mít přístup pro čtení žádná doména kromě té, kde běží
ten "nedůvěryhodný TeX", aby nemohlo dojít k jejímu "zašpinění"
nedůvěryhodnými daty. Což automaticky porušuje unconfined_t.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux