| Comments: |
Можно же отключить и то и другое с помощью штатного selinux, не?
![[User Picture]](http://lj.rossia.org/userpic/191927/26445) | | From: | ![[info]](http://lj.rossia.org/img/userinfo.gif) herm1t |
|---|
| Date: | November 10th, 2013 - 09:44 pm |
|---|
| | | (Link) |
|
Selinux такое угребище, что его отключают в первую очередь =)
![[User Picture]](http://lj.rossia.org/userpic/197531/22349) | | From: | ketmar |
|---|
| Date: | November 11th, 2013 - 09:00 pm |
|---|
| | | (Link) |
|
ну, ты ещё предложи простуду отрубанием ног лечить.
| | From: | herm1t |
|---|
| Date: | November 12th, 2013 - 03:55 pm |
|---|
| | | (Link) |
|
| | From: | ketmar |
|---|
| Date: | November 12th, 2013 - 04:10 pm |
|---|
| | | (Link) |
|
ага. и ещё часто ответы на форумах я видел, ктогда что-то сильно не так: «а ты пробовал selinux вырубить? так работает?»
вообще, как я у себя писал недавно, все эти access controls — это костыли, родившееся от того, что в массы пошла дурная привычка повышать привилегии непривелигерованым юзерам. соответственно, стандартная система разрешений не справляется, и приходится городить ещё одну поверх.
а по уму — надо было бы сделать так, чтобы на сисколы можно было устанавливать обычные никсовые права через какой-нибудь интерфейс в /sys. и если рут отобрал у себя право на запись к сисколу, то уже даже рут себе права поменять на него не может, гыг.
| | From: | herm1t |
|---|
| Date: | November 12th, 2013 - 04:18 pm |
|---|
| | | (Link) |
|
"это костыли"
для убогой системы прав. 3*3+3 - это убожество.
ACL (но вменяемые) - это очень неплохо.
а MAC с integrity/confidentiality это военно-бюрократические игрища.
есть capabilities... знаю, все знаю. :-)
по-хорошему, нужно несколько дополнительных настроек в ядре/sysctl, и умолчанию по ним, расчитанные не на devel, а на production. а с точки зрения безопасности, пригодились бы простые ACL, и отдельный вариант загрузки для работы с правами, чтобы базы пакетов, настройки, ACL хранились отдельно и были недоступны никому, даже руту.
ну хоть kmem, kallsyms попрятали :-)))
"то уже даже рут себе права поменять на него не может,"
vi syscall_permissions.conf
reboot
:-)
| | From: | ketmar |
|---|
| Date: | November 12th, 2013 - 04:24 pm |
|---|
| | | (Link) |
|
>то уже даже рут себе права поменять на него не может
я имел в виду — до ребута. %-)
>3*3+3 - это убожество
да ладно. местами ужас, конечно, но не ужас-ужас-ужас. не хватает разве что возможности указать, что некий юзер «менее привилегированый» чем другой (т.е. иерархии) — для того, чтобы в «порезаного» юзера можно было дропнуться без рута. ну, и для групп то же самое.
или обвесить всё ядро ACL-ками — но это, кажется, и делают всякие LSM-ы.
я думаю, что для практических целей во многих случаях было бы достаточно иерархии пользователей/групп. запустилась софтина, провела свой инит и дропнулась в порезаного юзера. и всё.
Да, отрубание и отстреливание ног -- как-то само собой приходит в голову при первом знакомстве с ним. | |
![[info]](http://lj.rossia.org/img/userinfo-lj.gif){kind=small}