[linux-l] Re: /proc & Co.
Volker Grabsch
vog at notjusthosting.com
Mo Okt 23 14:02:58 CEST 2006
On Mon, Oct 23, 2006 at 11:56:19AM +1000, Peter Ross wrote:
> Was unter FreeBSD mit jails, Securelevels und chflags etc. passiert, setzt
> sauber auf die grundlegenden Zugriffsmechanismen auf, erweitert sie
> mit wenigen Eintrittspunkten (Die Einfuehrung von jail z.B. bedurfte nur
> einiger hundert Zeilen Quellcode-Aenderungen)
Das Annalogon zu SELinux ist nicht Jails.
Vergleiche BSD-Jails lieber mit Linux-VServer. Dort wird ebenfalls ein
überschaubarer Kernel-Patch geliefert, allen Prozessen pauschal eine
zweite ID gegeben, und ein "Capabilities"-System bereitgestellt. Alles
andere erledigen dann wieder Programme im Userspace, die die
entsprechenden neuen System-Aufrufe nutzen.
http://linux-vserver.net/
Ich stimmte jedoch zu, dass SELinux ein Overkill ist, den man in der
Form eher von Windows als von Unix-Systemen wohnt ist.
> Dagegen basteln Linuxianer mit SELinux und App Armor rum, dabei muessen
> Unmengen von Policies und Rules immer wieder an Applikationen und
> Beduerfnisse angepasst werden. Es erinnert mich immer wieder an die
> Flickschusterei unter Windows, ein System abzudichten.
ACK. Mich persönlich erinnert es auch etwas an ZoneAlarm. Das habe ich
zufälligerweise auch gerade in meinem letzten Artikel:
http://wiki.njh.eu/Sicherheit_im_Netzwerk#Absicherung:_Client
geschrieben.
Viele Grüße,
Volker
--
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR
Mehr Informationen über die Mailingliste linux-l