Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Автоматическая генерация ACL.

Рубрика: Безопасность -> Управление доступом
Метки: |
Среда, 1 июля 2009 г.
Просмотров: 4924
Подписаться на комментарии по RSS

Ранее было сказано, что ключевая цель (и ведущее преимущество) Grsecurity состоит в том, чтобы максимально упростить настройку системы безопасности. А тут столько разговоров о различных ACL, ролях, субъектах и объектах.

     Для автоматического создания файла правил Grsecurity предоставляет ре­жим обучения. Даже если есть охота создавать файлы правил вручную, рекомендуется употреблять режим обучения - он послужит фунда­ментом для собственного файла.


     Если еще не установлена программа gradm, то сейчас самое время это сделать. После того, как будет введен make install, программа попросит ввести пароль, который будет применяться для администрирования ACL-системы. Не нужно вводить пароль пользователя root!

     Для запуска автоматического обучения нужно запустить gradm со следующими опциями:

# gradm -F -L /etc/grsec/learning.log

     Во время обучающего режима все действия, произведенные системой, бу­дут запротоколированы в файл /etc/grsec/learning. log. После окончания обучающего режима Grsecurity обработает протокол и на его основа­нии сгенерирует ACL.

     Во время обучающего режима, так же как и в случае с systrace, важно по­работать с приложением, которое нужно защитить (с элементом), в раз­ных режимах, чтобы система Grsecurity запротоколировала все действия, которые может реализовывать элемент. К примеру, для Web-сервера нужно не только запросить HTML-страничку, но и различные сценарии, написанные на РНР и на Perl, и тоже не забыть запустить сценарий, работающий с MySQL. Для Web-браузера нужно посетить разные сайты, не забуть про HTTPS-сайты и сайты со скриптами (JavaScript, Jscript и т.д.)

     Во время обучающего режима не нужно производить действий администратора, к примеру запуска и останова сервиса, модифицирования учетной записи, установки и удаления программного гарантирования, иначе они запишутся в протокол и будут считаться разрешенными.

Обучающий режим должен длиться целый день (тоже будут запротоколи­рованы задачи cron). После данного нужно отключить контроль доступа с помощью следующей команды:

# gradm -D

Password:

     Нужно ввести пароль, который был указан при установке программы. Чтобы gradm сгенерировал ACL по полученному протоколу, нужно использовать опцию -О:

# gradm -F -L /etc/grsec/learning.log -О /etc/grsec/acl

Beginning full learning 1st pass...done.

Beginning full learning role reduction ... done.

Beginning full learning 2nd pass...done.

Beginning full learning subject reduction for user root...

done.

Beginning full learning subject reduction for user den...

done.

Beginning full learning subject reduction for user snmps...

done.

Beginning full learning 2rd pass...done.

Beginning full learning object reduction for subject /...done.

Beginning full learning object reduction for subject/bin/bash...done.

Beginning full learning object reduction for subject /bin/cat...done.

Beginning full learning object reduction for subject /...done. Beginning full learning final pass...done.

     Внедрение Grsecurity.

     Grsecurity позволяет контролировать как пользовательские, так и сетевые сервисы, что делает эту систему идеальной как для применения на DMZ-серверах, так и на обычных многопользовательских машинах внутренней сети. Большая часть этих функций требуют небольшой настройки, что не так уж страшно - ведь есть режим автоматического создания ACL.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)