Spewow 28 мая 2014 в 09:56

Использование Tomoyo Linux

11 мин

22K

Информационная безопасность*Open source*

Туториал

+36

Комментарии 23

neochapay 28 мая 2014 в 10:01

Это очень похоже на selinux или я ошибаюсь?

Spewow 28 мая 2014 в 10:29

Типа того, только попроще.

merlin-vrn 28 мая 2014 в 10:37

Да, это такой «другой селинукс».

J_o_k_e_R 28 мая 2014 в 15:10

А так же на RBAC от grsecurity.

iavael 28 мая 2014 в 21:22

Tomoyo, как и selinux, основан на Linux Security Module framework. RBAC же сам по себе.

НЛО прилетело и опубликовало эту надпись здесь

amarao 28 мая 2014 в 10:33

Главная проблема всех таких штук:

q: I've got problem: foo bar не работает.
a: disable SELinux first, than try again.

Spewow 28 мая 2014 в 10:44

a2: Solve the problem and turn it back :)

amarao 28 мая 2014 в 10:46

После этого оно опять не работает.

Просто для понимания, SELinux, Tomyo и т.д. — это технологии, единственной задачей которых является мешать работать другим программам по специальным правилам, в которых прописаны исключения — те, кому мешать не надо.

И нет, я не троллю.

zabbius 28 мая 2014 в 10:53

Напоминает старый добрый Outpost Security, который на каждый чих спрашивал, разрешать ли.

WGH 28 мая 2014 в 16:48

> И нет, я не троллю.
А ничего, что эти технологии мешают не просто так, а с конкретной целью?

amarao 28 мая 2014 в 18:17

А это уже совсем другая песня. Они сначала мешают, а потом уже с конкретной целью.

НЛО прилетело и опубликовало эту надпись здесь

pfactum 28 мая 2014 в 12:47

Инфа на Арчевики, наверное, уже немного устарела. Я писал те разделы достаточно давно, и для Арча могло что-то поменяться. Хотя как примеры использовать можно.

mehatron 28 мая 2014 в 13:43

Какое название говорящее. То не твоё, Tomoyo!

Spewow 28 мая 2014 в 18:51

Ага, еще по поиску гугль постоянно выдает эту анимешную девицу, которую зовут видимо Tomoyo :)

nebularia 28 мая 2014 в 17:54

А что плохого в чтении /etc/password?

soko1 26 июн 2014 в 20:32

Представим картину: хакер воспользовался уязвимостью в вашем браузере и подсмотрел в /etc/passwd имя одного или нескольких пользователей и использовал их для входа по SSH, например. А т.к. у нормальных людей вход под рутом запрещён — задача перебора паролей усложняется. Да и зачем вообще браузеру знать что у вас в /etc/passwd?

ruikarikun 28 мая 2014 в 19:00

Tomoyo няша!

Spewow 30 мая 2014 в 08:42

Похоже нашел странный баг в Томе, позволяющий обходить все запреты. Попробую попинать разрабов…

Spewow 30 мая 2014 в 22:57

В общем initialize_domain фактически не работает для библиотеки линковки. Разрабу написал, тот сказал блочить такой прямой вызов либы.
Костыль конечно, но что поделать…

soko1 26 июн 2014 в 20:36

Благодарю за хороший мануал. Ранее использовал apparmor, но он мне не нравился тем, что там очень много готовых профилей и не один нормально не работает, по крайней мере на Debian. Пути к файлам там вообще как будто бы из /dev/urandom берутся и это сильно раздражает. Попробую Tomoyo.

Кстати, а какие у него преимущества перед Apparmor?

Spewow 26 июн 2014 в 21:10

Ну лично мне нравится глобальность подхода, я об этом написал. Можно создать правило которое примерится сразу ко всем процессам системы.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий