Spewow May 28 2014 at 09:56

Использование Tomoyo Linux

11 min

21K

Information Security*Open source*

Tutorial

+36

Comments 23

neochapay May 28 2014 at 10:01

Это очень похоже на selinux или я ошибаюсь?

Spewow May 28 2014 at 10:29

Типа того, только попроще.

merlin-vrn May 28 2014 at 10:37

Да, это такой «другой селинукс».

J_o_k_e_R May 28 2014 at 15:10

А так же на RBAC от grsecurity.

iavael May 28 2014 at 21:22

Tomoyo, как и selinux, основан на Linux Security Module framework. RBAC же сам по себе.

UFO just landed and posted this here

amarao May 28 2014 at 10:33

Главная проблема всех таких штук:

q: I've got problem: foo bar не работает.
a: disable SELinux first, than try again.

Spewow May 28 2014 at 10:44

a2: Solve the problem and turn it back :)

amarao May 28 2014 at 10:46

После этого оно опять не работает.

Просто для понимания, SELinux, Tomyo и т.д. — это технологии, единственной задачей которых является мешать работать другим программам по специальным правилам, в которых прописаны исключения — те, кому мешать не надо.

И нет, я не троллю.

zabbius May 28 2014 at 10:53

Напоминает старый добрый Outpost Security, который на каждый чих спрашивал, разрешать ли.

WGH May 28 2014 at 16:48

> И нет, я не троллю.
А ничего, что эти технологии мешают не просто так, а с конкретной целью?

amarao May 28 2014 at 18:17

А это уже совсем другая песня. Они сначала мешают, а потом уже с конкретной целью.

UFO just landed and posted this here

pfactum May 28 2014 at 12:47

Инфа на Арчевики, наверное, уже немного устарела. Я писал те разделы достаточно давно, и для Арча могло что-то поменяться. Хотя как примеры использовать можно.

mehatron May 28 2014 at 13:43

Какое название говорящее. То не твоё, Tomoyo!

Spewow May 28 2014 at 18:51

Ага, еще по поиску гугль постоянно выдает эту анимешную девицу, которую зовут видимо Tomoyo :)

nebularia May 28 2014 at 17:54

А что плохого в чтении /etc/password?

soko1 Jun 26 2014 at 20:32

Представим картину: хакер воспользовался уязвимостью в вашем браузере и подсмотрел в /etc/passwd имя одного или нескольких пользователей и использовал их для входа по SSH, например. А т.к. у нормальных людей вход под рутом запрещён — задача перебора паролей усложняется. Да и зачем вообще браузеру знать что у вас в /etc/passwd?

ruikarikun May 28 2014 at 19:00

Tomoyo няша!

Spewow May 30 2014 at 08:42

Похоже нашел странный баг в Томе, позволяющий обходить все запреты. Попробую попинать разрабов…

Spewow May 30 2014 at 22:57

В общем initialize_domain фактически не работает для библиотеки линковки. Разрабу написал, тот сказал блочить такой прямой вызов либы.
Костыль конечно, но что поделать…

soko1 Jun 26 2014 at 20:36

Благодарю за хороший мануал. Ранее использовал apparmor, но он мне не нравился тем, что там очень много готовых профилей и не один нормально не работает, по крайней мере на Debian. Пути к файлам там вообще как будто бы из /dev/urandom берутся и это сильно раздражает. Попробую Tomoyo.

Кстати, а какие у него преимущества перед Apparmor?

Spewow Jun 26 2014 at 21:10

Ну лично мне нравится глобальность подхода, я об этом написал. Можно создать правило которое примерится сразу ко всем процессам системы.