Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Сравнение технологий.

Рубрика: Безопасность -> Управление доступом
Метки: | | | | |
Среда, 15 июля 2009 г.
Просмотров: 5533

Учитывая популярность вышеописанных систем, можно сказать, какая наиболее подходит для защиты конкретной системы. DTE является наименее распространенной, поэтому можно скон­центрировать все внимание на хорошо опробованных технологиях - SE­Linux, Grsecurity, LIDS и RSBAC.

     SELinux - самая сложная в настройке системы. Чтобы понять, как работа­ет SELinux, надо заново воспринять фундаментальные Unix-концепции пользователей, групп и прав доступа. Масла в огонь добавляет язык опи­сания правил - он очень сложен, хотя таким он кажется на первый взгляд, пока не разберешся с ним. Однако, несмотря на сложность настройки, SELinux - наверное, самая мощная и защищенная реализация МАС-модели.

     LIDS, RSBAC и Grsecurity основаны на ACL, благодаря чему данные системы заметно проще изучать, чем SELinux. Кроме данного, они содержат много дополнительных функций, к примеру определение сканирования портов (LIDS), защиту памяти РаХ (Grsecurity и RSBAC), и «укрепление» chroot (Grsecurity).


     Совместимость.

     Один из недостатков LSM заключается в том, что данная технология разработана исключительно для гарантирования управления доступом. Данное отлично для SELinux, которая реализована как LSM-модуль, но не очень хорошо подхо­дит для LIDS, RSBAC и Grsecurity - данные системы реализованы в виде патчей ядра.

     При употреблении патчей ядра формируются проблемы с совместимостью версий - один патч подходит для одного релиза ядра, но не работает с дру­гим, несмотря на то, что применяется одна и та же версия ядра (к примеру, 2.6). Можно просто не найти патч, который подходит именно для этой версии ядра. В данной ситуации предпочтительнее употреблять LIDS, кото­рая доступна для какой угодно версии ядра серий 2.4 и 2.6. Grsecurity и RSBAC предоставляют патчи только для последней версии серий 2.4 и 2.6.

     Производительность.

     Проведены тесты производительности для всех четырех описанных проектов. Во всех случаях производительность относительно низкая - данное оз­начает, что производительность остается в пределах разумного (Web-сервер сможет обрабатывать запросы клиентов после установки какой угодно из моделей), но в несколько раз медленнее, чем без употребления таких сис­тем.

     Тут уж ничего не поделаешь - за все надо платить. В случае с безопаснос­тью, как правило, мы расплачиваемся производительностью. Как говорит­ся, тише едешь...

     Безопасность.

     Конечно же, больше всего интересен этот вопрос. Хотя наиболее строгой считается SELiunx, данное ни в коем случае не умаляет достоинств дру­гих систем. При правильной настройке системы LIDS, Grsecurity и RSBAC позволяют добиться того же уровня безопасности, что и при употреблении SELinux. А учитывая, что данные системы основаны на ACL и настраиваются значительно проще, чем SELinux, преимущество этих систем очевидно.