How to become an author
Search
Write a publication
Pull to refresh

Comments 23

Это очень похоже на selinux или я ошибаюсь?
Total votes 2: ↑2 and ↓0+2
Типа того, только попроще.
Total votes 1: ↑1 and ↓0+1
Да, это такой «другой селинукс».
Total votes 1: ↑1 and ↓0+1
Tomoyo, как и selinux, основан на Linux Security Module framework. RBAC же сам по себе.
This comment wasn’t rated yet0
UFO just landed and posted this here
Главная проблема всех таких штук:

q: I've got problem: foo bar не работает.
a: disable SELinux first, than try again.

Total votes 11: ↑11 and ↓0+11
a2: Solve the problem and turn it back :)
This comment wasn’t rated yet0
После этого оно опять не работает.

Просто для понимания, SELinux, Tomyo и т.д. — это технологии, единственной задачей которых является мешать работать другим программам по специальным правилам, в которых прописаны исключения — те, кому мешать не надо.

И нет, я не троллю.
Total votes 15: ↑15 and ↓0+15
Напоминает старый добрый Outpost Security, который на каждый чих спрашивал, разрешать ли.
Total votes 8: ↑7 and ↓1+6
> И нет, я не троллю.
А ничего, что эти технологии мешают не просто так, а с конкретной целью?
Total votes 1: ↑1 and ↓0+1
А это уже совсем другая песня. Они сначала мешают, а потом уже с конкретной целью.
Total votes 2: ↑2 and ↓0+2
UFO just landed and posted this here
Инфа на Арчевики, наверное, уже немного устарела. Я писал те разделы достаточно давно, и для Арча могло что-то поменяться. Хотя как примеры использовать можно.
Total votes 4: ↑4 and ↓0+4
Какое название говорящее. То не твоё, Tomoyo!
Total votes 9: ↑8 and ↓1+7
Ага, еще по поиску гугль постоянно выдает эту анимешную девицу, которую зовут видимо Tomoyo :)
This comment wasn’t rated yet0
Представим картину: хакер воспользовался уязвимостью в вашем браузере и подсмотрел в /etc/passwd имя одного или нескольких пользователей и использовал их для входа по SSH, например. А т.к. у нормальных людей вход под рутом запрещён — задача перебора паролей усложняется. Да и зачем вообще браузеру знать что у вас в /etc/passwd?
This comment wasn’t rated yet0
Похоже нашел странный баг в Томе, позволяющий обходить все запреты. Попробую попинать разрабов…
This comment wasn’t rated yet0
В общем initialize_domain фактически не работает для библиотеки линковки. Разрабу написал, тот сказал блочить такой прямой вызов либы.
Костыль конечно, но что поделать…
This comment wasn’t rated yet0
Благодарю за хороший мануал. Ранее использовал apparmor, но он мне не нравился тем, что там очень много готовых профилей и не один нормально не работает, по крайней мере на Debian. Пути к файлам там вообще как будто бы из /dev/urandom берутся и это сильно раздражает. Попробую Tomoyo.

Кстати, а какие у него преимущества перед Apparmor?
This comment wasn’t rated yet0
Ну лично мне нравится глобальность подхода, я об этом написал. Можно создать правило которое примерится сразу ко всем процессам системы.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr