Hi
Ich habe eben mal den neusten Kernel gezogen um zu sehen was es so neues gibt. Neben den gewohnten SELINUX habe ich SMACK und TOMOYO gesehen. Jemand Erfahrung damit? Und gibt es evtl. einen guten Blog für Anwendungszenarien? Kann ich eines von den beiden z.B. wie GRSECURITY und SELINUX zusammen mit SELINUX betreiben?
lg Darko
SMACK und TOMOYO
- minimike
- Beiträge: 5594
- Registriert: 26.03.2003 02:21:19
- Lizenz eigener Beiträge: neue BSD Lizenz
- Wohnort: Köln
-
Kontaktdaten:
SMACK und TOMOYO
"Lennart Poettering is one of those typical IT leaders..." "like Linus Torvalds and Theo de Raadt?" "more like Bozo the Clown" After all, now a good employee of Microsoft
Re: SMACK und TOMOYO
Smack habe ich mir nur kurz einmal angeschaut. Für Smack sind gepatchte Userspace Tools (coreutils) notwendig und der Aufwand diese bei jedem Upgrade neu zu patchen, war mir dann doch zu hoch. Keine Ahnung ob dieser Patch jetzt schon in coreutils eingepflegt wurde, ich habe auch den Eindruck, daß es um Smack sehr ruhig geworden ist.
Tomoyo verwende ich auf meinen Desktop/Laptop Rechnern um potentiell anfällige Applikationen ( Browser, Mail, Chat, Acrobat Reader, .. ) abzusichern.
Der Initialaufwand war doch höher als erwartet, nachdem ich mir jedoch einige Scripte für die Generierung der Policy geschrieben habe, läuft das jetzt problemlos ( Nach manchen Upgrades muß natürlich nachjustiert werden, das geht jedoch sehr flott und ist daher kein Problem )
Gruß
gms
Tomoyo verwende ich auf meinen Desktop/Laptop Rechnern um potentiell anfällige Applikationen ( Browser, Mail, Chat, Acrobat Reader, .. ) abzusichern.
Der Initialaufwand war doch höher als erwartet, nachdem ich mir jedoch einige Scripte für die Generierung der Policy geschrieben habe, läuft das jetzt problemlos ( Nach manchen Upgrades muß natürlich nachjustiert werden, das geht jedoch sehr flott und ist daher kein Problem )
ich bin mir ziemlich sicher, daß LSM Module nicht gestackt werden können. Von Tomoyo gibt es jedoch zwei Ausprägungen: die "Mainlined version" verwendet LSM, die "Fully equipped version" jedoch nicht. Letztere ist auch von der Funktionalität umfangreicher ( network, capabilities ), benötigt aber einen Kernelpatch.minimike hat geschrieben: Kann ich eines von den beiden z.B. wie GRSECURITY und SELINUX zusammen mit SELINUX betreiben?
Gruß
gms