Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

ACL

ACL возможностей в LIDS.

Рубрики: Безопасность | Управление доступом
Метки: | | |
Дата: 10/07/2009 14:14:57
Подписаться на комментарии по RSS

Возможности.

     В ACL из предыдущей статье описано действие GRANT, предостав­ляющее возможность CAP SETUID. А возможности до этого и не рассматривались, поэтому самое время их рассмотреть.

     LIDS предоставляет расширенное применение возможностей (однако, как было отмечено до этого, модуль возможностей (capability security module) нужно отключить в ядре). Кроме стандартных возможностей Linux, LIDS дает две собственные возможности:

  • CAP_HIDDEN — процессы с установленной возможностью CAPHIDDEN не будут отображаться в /рrос, что позволяет скрыть процесс от программы ps, lsof и top.
  • CAP_INIT_KILL — если эта возможность выключена для демона, то он не будет получать KILL-сигналы.

Далее...

ACL файлов в LIDS.

Рубрики: Безопасность | Управление доступом
Метки: | | |
Дата: 09/07/2009 15:20:11
Подписаться на комментарии по RSS

В LIDS есть два типа ACL:

  • ACL файлов — контролирует доступ к файлам и каталогам.
  • ACL возможностей — регулирует возможности исполнимых файлов.

     ACL файлов.

     LIDS определяет четыре режима для объектов:

  • DENY - доступ к файлу запрещен. При обращении приложения (к примеру, Is или cat) к этому файлу, оно получит сообщение об ошибке "No such file or directory" (ENOET) - «Нет такого файла или каталога». Внешне будет выглядеть так, как будто файла не сущест­вует.
  • READ - объект может быть открыт исключительно в режиме «толь­ко чтение», запись запрещена.
  • WRITE — чтение и запись не ограничивается. LIDS не защищает этот файл.

Далее...

Генерирование ACL.

Рубрики: Безопасность | Управление доступом
Метки: |
Дата: 03/07/2009 08:55:17
Подписаться на комментарии по RSS

Создание ACL - достаточно утомительная и рутинная задача, поэтому даже для опытных пользователей Grsecurity, рекомендуется употреблять встроенный режим обучения для создания начального ACL. Процесс авто­матического создания ACL был рассмотрен в предыдущей статье. Сейчас будет рассмотренно создание ACL для демона sshd.

     После долгой деятельности Grsecurity в режиме обучения был получен следующий ACL:

Далее...

Автоматическая генерация ACL.

Рубрики: Безопасность | Управление доступом
Метки: |
Дата: 01/07/2009 11:23:24
Подписаться на комментарии по RSS

Ранее было сказано, что ключевая цель (и ведущее преимущество) Grsecurity состоит в том, чтобы максимально упростить настройку системы безопасности. А тут столько разговоров о различных ACL, ролях, субъектах и объектах.

     Для автоматического создания файла правил Grsecurity предоставляет ре­жим обучения. Даже если есть охота создавать файлы правил вручную, рекомендуется употреблять режим обучения - он послужит фунда­ментом для собственного файла.

Далее...

Роли ACL.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 01/07/2009 11:02:15
Подписаться на комментарии по RSS

Одна из новейших функций Grsecurity - это RBAC, предоставляющая ад­министратору дополнительный контроль над элементами. В этой реали­зации RBAC ведущим понятием представляется роль: один или более субъектов могут исполнять какую-то роль, вы можете объявить один и тот же объект несколько раз, но для различных ролей.

     Роль отображается следующим образом:

role <имя роли> - <необязательные режимы роли>

Далее...

Grsecurity: ACL, ограничение ресурсов.

Рубрики: Безопасность | Управление доступом
Метки: | |
Дата: 30/06/2009 09:20:29
Подписаться на комментарии по RSS

Ограничение ресурсов.

     Ограничение ресурсов процесса задается в виде:

<имя ресурса> <"мягкий" лимит> <"жесткий" лимит>

     Доступны следующие ресурсы:

  • RES_AS — ограничение адресного пространства (в байтах).
  • RES_CORE — максимальный размер файла core (в байтах).
  • RES_CPU — максимальное процессорное время (в мс).
  • RES_DATA — максимальный размер данных (в байтах).
  • RES_FSIZE — максимальный размер файла (в байтах).
  • RES_LOCKS — максимальное число блокировок файлов.
  • RES_MEMLOCK — максимальное число блокировок памяти (в байтах).
  • RES_NOFILE — максимальное число открытых файлов. Нужно помнить, что минимально допустимое число открытых файлов равно 3 — для STDOUT, STDIN и STDERR.
  • RES_NPROC — максимальное число процессов.
  • RES_RSS — максимальный RSS (в байтах).
  • RES_STACK — максимальный размер стека (в байтах).

Далее...

Grsecurity: Управление доступом с помощью ACL.

Рубрики: Безопасность | Управление доступом
Метки: | | | |
Дата: 30/06/2009 08:50:27
Подписаться на комментарии по RSS

Управление доступом - самый большой раздел Grsecurity, но, потому что управ­ление доступом реализуется с помощью ACL, здесь нет опций ядра, который связанны с управлением доступом, и это при том, что ACL относится к уровню ядра.

     Настройка ACL делается с помощью утилиты gradm. Применение системы RBAC необязательно, но нужно учитывать, что без ACL крекер может легко обойти некоторые функции Grsecurity.

Далее...