Упрощенная система принудительного контроля доступа для Linux

01.10.2007 22:41

Casey Schaufler представил в списке рассылки разработчиков Linux ядра упрощенную систему принудительного контроля доступа (MAC, Mandatory Access Control) для Linux.

Новая система названа Smack (Simplified Mandatory Access Control Kernel) и реализована через привязку меток к задачам и блокам данных (файлы, IPC, сетевые пакеты и т.д.) на уровне ядра.

В качестве достоинств системы отмечается реализация в виде LSM модуля не затрагивающего другие подсистемы ядра, минимальные требования к поддержке со стороны приложений и упрощенных подход к конфигурированию (управление через псевдо-ФС smackfs).

исправить +/–

Главная ссылка к новости (http://kerneltrap.org/Linux/Si...)

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/12273-kernel

Ключевые слова: kernel, mac, acl, patch, linux

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (10)

1.1, Сергей (??), 06:16, 02/10/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Если уж совсем быть дотошным, то MAC это мандатный контроль доступа, основанный на классификации ресурсов по уровням конфиденциальности. Авторы новостей пишут лишь бы написать?

2.3, fresco (??), 09:13, 02/10/2007 [^] [^^] [^^^] [ответить]	+/–
ХЗ, ошибка ли это. mandatory _ 1. _a. _ 1> мандатный _ 2> обязательный, принудительный; -

2.4, Maxim Chirkov (ok), 09:44, 02/10/2007 [^] [^^] [^^^] [ответить]	+/–
>Если уж совсем быть дотошным, то MAC это мандатный контроль доступа, основанный >на классификации ресурсов по уровням конфиденциальности. > >Авторы новостей пишут лишь бы написать? Я стараюсь использовать терминологию википедии: http://ru.wikipedia.org/wiki/Mandatory_Access_Control и FreeBSD HandBook http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/mac.html

3.7, fresco (??), 11:11, 02/10/2007 [^] [^^] [^^^] [ответить]	+/–
И правильно делаете.

3.9, Сергей (??), 06:52, 03/10/2007 [^] [^^] [^^^] [ответить]	+/–
Откройте любую книжку по безопасности. Mandatory как "принудительный" не совсем верно отражает суть понятия.

4.10, Maxim Chirkov (ok), 09:01, 03/10/2007 [^] [^^] [^^^] [ответить]

+/–

>Откройте любую книжку по безопасности. Mandatory как "принудительный" не совсем верно отражает
>суть понятия.

С другогй стороны в пользу "принудительного" идет противопоставление с DAC: Прнудительный контроль доступа (MAC) и Добровольный контроль доступа (DAC). Мандатный хорошо звучит в купе с дискреционным :-)

Что касается книжек, то нашел старый, советских времен, словарь перевода компьютерных терминов, там MAC переводят как "обязательный", а "capability" как мандатный. В словаре по информатике MAC переводят как мандатный, вообщем путаница.

Как мне кажется, здесь ситуация сходная с конкуренцией терминов "брандмауер" и "межсетевой экран".

5.11, Andrey Mitrofanov (?), 10:49, 04/10/2007 [^] [^^] [^^^] [ответить]	+/–
>с конкуренцией терминов "брандмауер" и "межсетевой экран". Да нету никакой конкуренции %) -- "Простое русское слово брандмауэр переводится с немецкого на английский как файервол."(тм)

1.5, Michael Shigorin (ok), 10:35, 02/10/2007 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кстати, в последовавшем обсуждении были очень хорошо проиллюстрированы подходы к отбору кода и избежанию однобоких "преференций" там, где тема не отличается однозначным восприятием у разработчиков: http://kerneltrap.org/Linux/Pluggable_Security

1.8, ABorland (?), 16:12, 02/10/2007 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Апять изобретают велосипед
в RSBAC все давно сделано
и отлично работает
объяснить нежелание Линуса включать данный функционал в ядро
,лично я могу, только конспирологическими измышлениями на тему
"Большие корпорации нехотят делать ПОНАСТОЯЩЕМУ надежные системы внутренней безопасности".
О том что LSM может использоваться для создания руткитов написано например здесь

http://www.technewsworld.com/story/linux-software/39565.html

Значит эта дыра в ядре комуто очень нужна

2.12, Аноним (-), 22:38, 06/10/2007 [^] [^^] [^^^] [ответить]	+/–
любые хуки в ядре можно использовать для руткитов, это не аргумент.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: