Bezpečnost a stabilita Applu

[sudanec]

Pouziva port selinuxu? Nerozumiem.. Pouziva nejaku realnu, aplikovanu, pouzitelnu a pouzivanu mnozinu pravidiel selinuxu? Alebo co to je?

[w^x]

Myslim tym fork NSA selinuxu. A je to btw kompatibilne s povodnymi policies.

[sudanec]

Teda fork tych 5 milionov pravidiel, o ktorych je navyse (pokial mi je zname) dokazane, ze maju kopec chyb? Asi naozaj nerozumiem, co tym myslite.. pretoze tomuto sa mi nechce verit.

[w^x]

Akych milion chyb. Software ma chyby a naviac taky jazyk ako C ich ma vela ...ale nepliest si to s dizajnom a zlou implementaciou. Vid dll hijacking.
Chybaju vam zakladne znalosti v oblasti modulov a acces pravidiel. Naviac nechapete co je to fork. Prosim dostudujte si to.

[sudanec]

Pisem 5 milionov pravidiel, nie chyb. Chyby strukturalneho charakteru tam najdene boli, pokial mi je zname. Teda v tom NSA modeli, ak stale hovorime o nom.

[w^x]

Co je podla vas strukturalny charakter ? Mozete dodat nejake linky ?
Za strukturalny charakter ja povazujem infoleaky v linuxe napr. , dll hijacking a cely management memory a prav zapisovanie vo windowse.

[sudanec]

Fakt sa mi nechce hladat linky.. viem, ze kolega Jurcik pri implementacii nejakych selinuxovych politik nasiel vo verzii NSA problemy, ktore sposobovali, ze pravidla sa nespravali podla specifikacie, dokonca sa spravali vyslovene zle. Ak by Vas to zaujimalo, viem na neho poskytnut kontakt.. mna to az tak do hlbky nezaujima.
Pokial viem, selinux sice kdesi v jadre 2.6tky je, ale to neznamena, ze sa pouziva. Ak sa to pouziva, tak bezni pouzivatelia kricia (na linuxovych forach takych vlaken asi bude dost), ze im to blokuje aplikacie, pripadne bootovanie systemu a podobne. Ad MAC, HFS+ cosi podporuje (ak sa dobre pamatam, malo to obmedzenia na dlzku alebo cosi take), ale ze by tam boli implementovane a podporovane tie miliony pravidiel.. o tom neviem.
Priznavam, ze na problematiku nie som odbornik - ale ani po 5minutovom hladani som nenasiel, ze by v MAC OS bola podporovana politika SELinuxu implementovana NSA, v defaultnej instalacii a konfiguracii, bez dalsich zasahov.

[w^x]

Selinux je v kerneli od verzie 2.6.36 nie je defaultne zapnuty. Ako som uz povedal pouziva sa v rheli a fedore pripadne serverovom debiane.
Nemusite mi na kolegu davat kontakt...ak sa chce vyjadrit nech to napise sem . Sprava selinuxu je "tazka" je to peklo aj pre skuseneho administratora nedivil by som sa keby to kolega len nevedel nastavit. Treba si uvedomit ze nic co sa tyka pocitacov sa nechova len tak svojvolne (toto mozno plati vo svete windowsu) pri unixe si vacsinou mozete za vlastnu blbost sam.

V Macu je fork selinuxu od NSA ako som uz povedal, ktory podoruje povodne nsa selinux policies. Staci pozriet TrustedBSD projekt.


Ad userfriendliness a nariekanie na forach.
Zase user based problem. Nepamatam si ze by pri repozitaroch a bootovani (toto dokonca s tym nema nic spolocne) bol problem. Jasne ak si niekto kompiluje vlastny program a ma problemy to je uz o inom. O neznalosti.

[sudanec]

Kolega tie policies analyzoval a navrhoval podobny system pre general purpose OS, pretoze ten system od NSA velmi pre general purpose OS podla analyzy jeho skolitela dvakrat vhodny nie je; k zlyhaniam doslo pri ich debugovani a analyzovani, kedy sa porovnavali so specifikaciou a dokumentaciou, ak si to dobre pamatam. Kedze nie je na fore registrovany, asi sa k tomu nevyjadri.. ale ked tak ho sem pozvem.
Okay.. na ten selinux v mac os sa skusim popytat ludi, co s tym pracuju.. vdaka za tip.. a prajem pekny zvysok vecera.

[w^x]

Pekny vecer prajem aj ja.
Pre general purpose OS je to fakt asi zbytocne...reinventing the wheel by som povedal a nechal by som to na ludi co to developuju a ich OS (RH). Preto tu je AppArmor s path namiesto label.
Ono je tu aj implementacia selinuxu pre embeded devices ako routre atd.