[linux-l] Einige Fragen zu GRsecurity...
Steffen Schulz
pepe_ml at gmx.net
Mo Jan 19 18:45:26 CET 2004
On 040119 at 18:00, Oliver Beck wrote:
> Hi BeLUG'xianer,
N'Abend...
> Wie soll ich das mit der Vererbung bei den ACL's von GRsec verstehen?
> So wie ich das jetzt verstanden habe, ist das folgendermaßen:
So hab ich mir das auch gedacht. Allerdings gab es letzten Sommer quasi
keine Doku zu grsec2.0, also insbesondere bzgl der Vererbbarkeit und
diesem selbst-lern-system. Mit einer der Hilfreichsten Quellen war eine
Doku des Gentoo-Projekts, zu finden mittels:
www.google.de/search?q=gentoo grsecurity
> Worin besteht der Unterschied der ACL's in GRsec 2.0 und RSBAC. So weit
> ich das lesen konnte, sind doch beide Rollen basierende Zugriffs
> Kontrollen (Role Based Access Control, kurz RBAC). (Wobei GRsec noch
> eine menge mehr als nur die ACL's bietet, ja das weiß ich ;)
Ich kenne RSBAC nicht, aber wenn man sich die Features auf der Website
anschaut, scheint es auch einige Dinge zu geben, die grsecurity nicht
kann. zB diesen Malware-Scanner, quasi nen Virenscanner. Der dürfte
dann auf kernel-ebende agieren. Naja, wer's braucht...
> Kann man beides nutzen? Also, den Kernel mit GRsec patchen und danach
> den RSBAC-Patch überbügeln.
Ich glaube nicht daran, aber probiers doch aus...
> Macht das überhaupt Sinn?
Wenn du sicher bist, dass du die exklusiven Features aus beiden Welten
brauchst...die prinzipielle Funktion der Capabilities decken beide ab.
> Ist hier überhaupt jemand, der sich in Sachen ACL's (mit welcher Methode
> auch immer) auskennt/beschäftigt?
Ich hab grsec 2-3 mal installiert und für hübsch befunden.
Allerdings vor allem wegen der Kernel-Features. Mit den ACLs kann man
hübsche Sachen machen, aber dann wird vieles auch komplizierter
(Fehlersuche!) und der tiefere Sinn, root zu degradieren, leuchtet
mir auch nicht ganz ein. Oder sagen wir, es erscheint mir sinnvoller,
geeignete Programme in geeigneter konfiguration zu benutzen, als mit
einem weiterem Tool hinterherzuwischen.
HTH,
pepe
--
If you aren't remembered, then you never existed.
- Serial Experiments Lain
Mehr Informationen über die Mailingliste linux-l