abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 16:00 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 163. brněnský sraz, který proběhne v pátek 26. dubna od 18:00 v indické restauraci Everest na adrese Veveří 61.

Ladislav Hagara | Komentářů: 0
dnes 15:33 | IT novinky

Všem dívkám v ICT vše nejlepší k dnešnímu Mezinárodnímu dni dívek v ICT (Wikipedie, Girls in ICT Day, YouTube).

Ladislav Hagara | Komentářů: 2
dnes 12:22 | Nová verze

Byla vydána verze 1.12 systému pro správu a verzování zdrojových kódů Apache Subversion (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1
dnes 12:11 | Zajímavý článek

Mozilla zveřejnila každoroční Internet Health Report, který popisuje aktuální společenská témata související s využíváním Internetu. Tentokrát se dotýkají mj. etiky algoritmů strojového učení, cílené reklamy a „chytrých měst“.

Fluttershy, yay! | Komentářů: 1
dnes 08:44 | Nová verze

Webová aplikace pro správu repozitářů v gitu Gitea vyšla v nové verzi 1.8.0. Nově poskytuje OAuth 2.0, umožňuje archivaci repozitářů, skrývání organizací jako interních či soukromých, zamykání konverzací a mnoho dílčích změn.

Fluttershy, yay! | Komentářů: 5
včera 19:33 | Nová verze

Bylo vydáno OpenBSD 6.5. Opět bez oficiální písně. Nejnovější OpenBSD přináší například OpenSMTPD 6.5.0, LibreSSL 2.9.1 nebo OpenSSH 8.0.

Ladislav Hagara | Komentářů: 1
včera 11:33 | Zajímavý článek

Na oficiálním blogu Raspberry Pi byla představena kniha An Introduction to C & GUI Programming. Kniha je ke stažení zdarma (pdf). Papírovou verzi lze koupit za 10 liber.

Ladislav Hagara | Komentářů: 14
včera 10:33 | Nová verze

Byla vydána nová verze 4.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 3 100 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
včera 10:00 | Nová verze

Google Chrome 74 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 74.0.3729.108 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 39 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
23.4. 21:44 | Nová verze

Po roce vývoje od vydání verze 1.14.0 byla vydána nová stabilní verze 1.16.0 dle Netcraftu aktuálně nejpoužívanějšího webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.16.

Ladislav Hagara | Komentářů: 0
Používáte headset pro virtuální realitu?
 (1%)
 (3%)
 (2%)
 (18%)
 (1%)
 (74%)
Celkem 238 hlasů
 Komentářů: 12, poslední 18.4. 01:19
Rozcestník

AppArmor bude součástí jádra 2.6.36

James Morris poslal náhled změn Security subsystému pro kernel 2.6.36. AppArmor byl dlouho dobu vyvíjen mimo kernel, je používán jako alternativa k SELinuxu v distribucích Ubuntu, openSUSE a Mandriva. Jde o Mandatory Access Control systém, který stejně jako SELinux a TOMOYO používá jaderné rozhraní Linux Security Modules (LSM). Na rozdíl od SELinuxu však používá definice na základě cest k souborům. Definice pravidel je tak jednodušší než u MAC systémů používajících labelování.

1.8.2010 15:16 | \'; DROP TABLE users; -- | Nová verze


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

1.8.2010 18:04 kolcon | skóre: 15 | blog: kolcon
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36

to je neco jako acl?

1.8.2010 18:38 Vantomas | skóre: 28 | Praha
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Zajistuje aby aplikace pristupovali pouze k souborum, ktere jsou jim dovoleny. Webserver tedy muze pouze ke knihovnam, ktere potrebuje pro svuj beh, muze pouze do adresaru s webrootem apod., mail server zase muze pouze do uloziste mailu.

Kdyz utocnik zkompromituje napr. mail server, nedostane se napr. do webrootu webserveru a nevycte tajne hesla do databaze.
Jiří Svoboda avatar 1.8.2010 21:10 Jiří Svoboda | skóre: 37 | blog: cat /dev/mind | Prostějov
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Což mě jednou pěkně vypeklo.

Jsem zvyklý mít v '/etc/' víc různých 'resolv.conf' a přepínat jen změnou symlinku.

Treba 'resolv.conf -> resolv.conf.doma'.

Nainstaloval jsem si mašinu pro nahrávání z DVB-T a po nějaké době mi chyběly začátky nahrátých pořadů, protože se zpožďovaly hodiny. I kdyz běželo 'ntpd'. Jo, to sice běželo, ale jak, AppArmor ho nepustil k 'resolv.conf', takže se na NTP server nedoptal...
1.8.2010 19:15 bender
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
A já myslel, že už dříve se rozhodlo, že bude vývoj apparmor zastaven a do jádra už se nedostane. Něco jsem zaspal?
2.8.2010 10:19 Kerala
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Nemohl být zastaven neboť vývojáři jsou u Canonicalu. Novell se dlouho snažil protlačit AppArmor do jádra.
2.8.2010 11:32 Drew | skóre: 14 | blog: Supi_hnizdo | Praha
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
A pak že Canonical nepřispívá do vývoje jádra...
Vojtěch Trefný avatar 2.8.2010 15:34 Vojtěch Trefný | skóre: 24 | blog: vojtíškův blogísek | Praha
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Nepřispíval. protože zatím AppArmor součástí jádra není...
2.8.2010 16:38 Drew | skóre: 14 | blog: Supi_hnizdo | Praha
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
No, tak odpříští řady už tam bude, a tak bude Canonical přispívat. Byť si teda myslím, že na tom nesejde.
1.8.2010 22:30 JoHnY2
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
nemam prakticky zkusenosti, ale AppArmor vypada proti SELinuxu jako pritulnej mourek proti hladovimu lvovi. Prvni vec, ktera me vzdycky nakrkne na Fedore je SELinux. Je asi vybornej pro banky a statni spohovaci agentury, ale me vzdycky zveda vyrazne vic hladinu adrenalinu nez bezpecnost :-)
2.8.2010 06:55 Tutor
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
SELinux a AppArmor jsou co o bezpečnosti více méně ekvivalentní (nějaké rozdíly tam jsou). Výhodou AppArmor je hlavně to, že je lépe stravitelný pro uživatele.
alblaho avatar 2.8.2010 08:26 alblaho | skóre: 17 | blog: alblog
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Před časem byl na tomto serveru seriál o SELinuxu a přišlo mi to dost složité. Rozhodně jsem dospěl k názoru, že se něčím takovým na desktopu fakt nehodlám zaobírat a na serverech to pokud možno přenechám profíkům.
2.8.2010 08:47 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Ekvivalentní bych určitě neřekl. Zásadní omezení AppArmoru je v tom, že hlídá jen vybrané programy (typicky síťové démony a programy se SUID bitem) a ostatní ho nezajímají. Na druhou stranu, když jsem se díval na "targeted policy", která je připravená jako součást distribuce v CentOSu, tak ta dělala přesně totéž.
2.8.2010 08:59 Tutor
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
AppArmor si nemohu nakonfigurovat tak, aby hlídal to co chci já?
2.8.2010 09:04 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
To samozřejmě ano. Ale AppArmor hlídá jen programy, pro které má připravený profil, ať už z distribuce nebo od vás. Neumí režim "defaultně nesmí nikdo nic kromě toho, co komu výslovně povolím" jako třeba SELinux nebo LIDS.
2.8.2010 09:17 Tutor
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
To platí jen pokud svůj profil založíte na "access everything" a zakazujete vše ručně.

Nic vám nebrání v tom začít s "deny all" policy a postupovat opačně.
2.8.2010 11:24 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Asi si nerozumíme. Nemluvím o profilu pro jeden program, tam je samozřejmě defaultem zakázat všechno a co explicitně nepovolím, to program nesmí. Mluvím o tom, že aplikace, které profil nemají, mohou automaticky všechno (co jim nezakáže jiné omezení, např. klasická přístupová práva, atributy nebo ACL).
2.8.2010 11:07 l4m4
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Uch och. Pominu-li přístup AppArmor založený na cestách, který považuji za chybný...

Např. postup v SELinuxu, jak se definuje, které soubory uživatelům smí v home číst webserver:

1) Admin definuje typ, ke kterému jedinému dostane proces s rolí web serveru přístup (typicky je toto už uděláno a je to nějaký httpd_user_content_t)[*].

2) Kdokoli pak použije chcon(1) na své soubory a adresáře a možnost čtení weserverem jim libovolně přidá či sebere, nevyhovuje-li mu default.

Jak udělám krok 2 s AppArmor?

[*] Jo, není to tak jednoduché, v refereční policy existuje ještě boolean, který toto celé globálně zapne/vypne.
2.8.2010 09:36 Kerala
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Kdysi jsem četl, že SELinux se těžko dostává z počítače resp. z jádra. Kdežto AppArmor se jednoduše odebere nebo přidá v YaSTu.
michich avatar 2.8.2010 10:38 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Vypnout SELinux je triviální.
2.8.2010 14:10 Kerala
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Čím více nepoužívaného balastu, tím těžkopádnější použití.
2.8.2010 20:31 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Tak to určitě.

Musel jsem kvůli tomu měnit jádro na jinou verzi, protože mě vypnutý selinux nenechal připojit ext2 oddíl s /boot - nelíbilo se mu, že tam nejdou zapnout acl (to nebylo v jádře). A bez přístupu k /boot jaksi nejde nainstalovat nové jádro.

Quando omni flunkus moritati
pavlix avatar 2.8.2010 20:53 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Mam za to, že selinux k ničemu ACL nepotřebuje. Každopádně u skutečně vypnutého selinuxu bych něco podobného považoval za bug a snažil bych se to hlásit.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
2.8.2010 11:09 l4m4
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Kdysi jsem četl, že MS Windows jsou mnohem bezpečnější než Linux. Nesmíš věřit každému FUDu, který si někde přečteš...
2.8.2010 16:56 Kerala
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Bohužel asi neumíte rozlišovat mezi PR články z dílny Steva Ballmera a komentářem vývojáře Luďka Šafáře (kdysi šefoval českým vývojářům ve společnosti SUSE). Z roku 2006 je porovnání zde.
1.8.2010 23:07 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
No nevím, k plné spokojenosti používám GRSecurity. SELinux se mi nelíbí. A AppArmor budu muset zkusit.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
wiskas avatar 1.8.2010 23:42 wiskas | skóre: 21 | blog: Raziel
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
A čím že se to liší od Tomoyo?
Libav developer. | The world is just a lot of people trolling each other.
2.8.2010 01:10 Bill Gates
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
snad to pujde vypnout.
2.8.2010 06:56 Tutor
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
stejně jako lze "vypnout" SELinux.
3.8.2010 08:50 Kerala
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Není třeba vypínat, stačí AppArmor odinstalovat v YaSTu.
2.8.2010 20:35 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: AppArmor bude součástí jádra 2.6.36
Upřímně doufám, že se vývojářům jádra podaří nějak vyřešit skládání bezpečnostních modulů. Pak se člověk na všechny tyhle molochy bude moci vybodnout a používat jenom to, co se mu hodí.
Quando omni flunkus moritati

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.