@Spewow28 мая 2014 в 05:56

Использование Tomoyo Linux

11 мин

22K

Информационная безопасность * Open source *

Туториал

+35

Комментарии 23

@neochapay 28 мая 2014 в 06:01

Это очень похоже на selinux или я ошибаюсь?

@Spewow 28 мая 2014 в 06:29

Типа того, только попроще.

@merlin-vrn 28 мая 2014 в 06:37

Да, это такой «другой селинукс».

@J_o_k_e_R 28 мая 2014 в 11:10

А так же на RBAC от grsecurity.

@iavael 28 мая 2014 в 17:22

Tomoyo, как и selinux, основан на Linux Security Module framework. RBAC же сам по себе.

НЛО прилетело и опубликовало эту надпись здесь

@amarao 28 мая 2014 в 06:33

Главная проблема всех таких штук:

q: I've got problem: foo bar не работает.
a: disable SELinux first, than try again.

@Spewow 28 мая 2014 в 06:44

a2: Solve the problem and turn it back :)

@amarao 28 мая 2014 в 06:46

После этого оно опять не работает.

Просто для понимания, SELinux, Tomyo и т.д. — это технологии, единственной задачей которых является мешать работать другим программам по специальным правилам, в которых прописаны исключения — те, кому мешать не надо.

И нет, я не троллю.

@zabbius 28 мая 2014 в 06:53

Напоминает старый добрый Outpost Security, который на каждый чих спрашивал, разрешать ли.

@WGH 28 мая 2014 в 12:48

> И нет, я не троллю.
А ничего, что эти технологии мешают не просто так, а с конкретной целью?

@amarao 28 мая 2014 в 14:17

А это уже совсем другая песня. Они сначала мешают, а потом уже с конкретной целью.

НЛО прилетело и опубликовало эту надпись здесь

@pfactum 28 мая 2014 в 08:47

Инфа на Арчевики, наверное, уже немного устарела. Я писал те разделы достаточно давно, и для Арча могло что-то поменяться. Хотя как примеры использовать можно.

@mehatron 28 мая 2014 в 09:43

Какое название говорящее. То не твоё, Tomoyo!

@Spewow 28 мая 2014 в 14:51

Ага, еще по поиску гугль постоянно выдает эту анимешную девицу, которую зовут видимо Tomoyo :)

@nebularia 28 мая 2014 в 13:54

А что плохого в чтении /etc/password?

@soko1 26 июн 2014 в 16:32

Представим картину: хакер воспользовался уязвимостью в вашем браузере и подсмотрел в /etc/passwd имя одного или нескольких пользователей и использовал их для входа по SSH, например. А т.к. у нормальных людей вход под рутом запрещён — задача перебора паролей усложняется. Да и зачем вообще браузеру знать что у вас в /etc/passwd?

@ruikarikun 28 мая 2014 в 15:00

Tomoyo няша!

@Spewow 30 мая 2014 в 04:42

Похоже нашел странный баг в Томе, позволяющий обходить все запреты. Попробую попинать разрабов…

@Spewow 30 мая 2014 в 18:57

В общем initialize_domain фактически не работает для библиотеки линковки. Разрабу написал, тот сказал блочить такой прямой вызов либы.
Костыль конечно, но что поделать…

@soko1 26 июн 2014 в 16:36

Благодарю за хороший мануал. Ранее использовал apparmor, но он мне не нравился тем, что там очень много готовых профилей и не один нормально не работает, по крайней мере на Debian. Пути к файлам там вообще как будто бы из /dev/urandom берутся и это сильно раздражает. Попробую Tomoyo.

Кстати, а какие у него преимущества перед Apparmor?

@Spewow 26 июн 2014 в 17:10

Ну лично мне нравится глобальность подхода, я об этом написал. Можно создать правило которое примерится сразу ко всем процессам системы.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий