Другие технологии: SELinux.
Метки: DAC | DTE | LSM | RBAC | SELinux
Среда, 15 июля 2009 г.
Просмотров: 7253
Подписаться на комментарии по RSS
Security Enhanced Linux (SELinux) - это проект Агентства правительственной безопасности США (U.S. NSA). Репутация такого ведомства говорит о серьезности проекта - там к безопасности относятся очень серьезно. Да и сам проект получился очень удачным - SELinux входит в состав многих современных дистрибутивов и выясняется по умолчанию (правда, также по умолчанию не активизируется).
SELinux - не просто система безопасности, это переход с традиционной DAC-системы («все или ничего» - у вас либо полный контроль над системой,, либо вообще нет контроля), в которой решения о предоставлении доступа базировались на ID пользователя и правах файлов, в другое измерение безопасности.
Чтобы показать, насколько безопасна данная система, в Интернете всем желающим предоставлялся root-доступ к машинам NSA. Цель эксперимента заключалась в следующем: сможет ли кто-то получить контроль над системой, на которой установлена SELinux, при условии, что у него будут права root. Пока никто данного не смог сделать.
Начально SELinux поставлялась как патч для ядра (2.2 или 2.4), сейчас она полностью поддерживает концепцию LSM и поставляется в виде LSM-модуля.
Сейчас поддержка SELinux есть в дистрибутивах Fedora Core, Debian и Gentoo. Примечательно, что Fedora Core стал первым дистрибутивом, где SELinux устанавливалась по умолчанию, но не активизировалась, поскольку настройка SELinux для начинающего пользователя - очень сложная (если не сказать - непосильная) задача.
Наибольший недостаток SELinux - это ее сложность настройки. Система действительно сложна в настройке, потому что многие администраторы с ней не знакомы, они не могут ее полностью правильно настроить, что приводит к «дырам» в безопасности. Для полной настройки системы необходимо потратить несколько недель.
Для каждого пользователя и для каждого приложения в SELinux должны быть заданы правила, что отнимает много времени, особенно на многопользовательской рабочей станции. Поэтому часто SELinux применяется на серверах, которые выполняют всего одну задачу, к примеру DNS-сервер, почтовый сервер или Web-сервер.
Комментариев: 1
если система безопасности используется для контроля времени прихода сотрудников, то лучше взять сервис StaffBase. Для меня, как руководителя он предоставляет хорошую статистку. Довольна - http://staff-base.net/about.html