Август - Xakep Online

unixoidЮрий «bober» Раззоренов/ zloy.bobr@gmail.com /БронированныйтуксAppArmor: пакет для определенияполитик безопасности ПООперационная система Linux унаследоваласистему безопасностиUnix, разработанную еще в 70‐х годах,передовую на момент создания,но на сегодняшний день уже явнонедостаточную. Каждый пользовательимеет полную свободу действийв пределах своих полномочий по принципу«все или ничего». Это приводит ктому, что для выполнения некоторых задачпользователю часто предоставляется гораздобольше прав, чем это реально необходимо.Поэтому пользователь, получивший доступ справами системной учетной записи, может добитьсяпрактически полного контроля над системой.Что имеем?В процессе работы любого приложения могут возникатьразличные отклонения, приводящие в итоге к егоаномальному выполнению. Это могут быть как системныесбои, ошибки в программировании, так и искусственновызванные ситуации. И последнее далеко нередкость. Хакер, обнаружив, что при определенныхусловиях можно повлиять на выполнение программы,естественно, попытается этим воспользоваться.Предсказать поведение программы во внештатномрежиме практически нереально. Примером томуявляются антивирусы, которые все время работают в«догоняющем» ритме, не обеспечивая защиту от 0‐dayатак. А вот нормальное поведение программы можноописать с помощью относительно простых правил. Врезультате появилось несколько проектов, реализующихконцепцию упреждающей защиты. Среди них LIDS (www.lids.org), GRSecurity (www.grsecurity.org), AppArmor(forge.novell.com/modules/xfmod/project/?apparmor) иSELinux (www.nsa.gov/selinux). Но большей известностьюпользуются последние два.SELinux (Security Enhanced Linux) появился в недрахU.S. National Security Agency (NSA) и стал доступенобщественности под лицензией GPL в 2000 году. В немиспользован ролевой контроль доступа (Role-basedAccess Control, RBAC), многоуровневая безопасность ипринудительное присвоение типов (type enforcement).КодSELinux включен в ядро версии 2.6 (начиная с2.6.0‐test), для версий 2.4 и 2.2 имеются патчи. Крометого, SELinux портирован под BSD и Darwin, а кодоптимизирован для компьютеров, имеющих 32 иболее процессора. Каждому файлу назначаетсяконтекст безопасности, который и определяет, какиепроцессы (пользователи) могут с ним работать.Несмотря на очень высокий уровень защиты и поддержкув дистрибутивах RedHat, эта система так ине смогла приобрести широкой популярности из-заочень сложной процедуры настройки. РазработчикиAppArmor резонно считают, что безопасность недолжна идти в ущерб простоте, ведь чем сложнеесистема, тем больше вероятность, что она будетневерно настроена.Проект AppArmorИзначально AppArmor был разработан компаниейImmunix, которая выпускала одноименный «иммунизированный»дистрибутив Linux и специализироваласьв области защиты ОС и ее приложений отразличных атак. После ее приобретения компаниейNovell в мае 2005 года (кстати, вместе с основателемКриспином Коуэном) инструмент был открыт подлицензией GPL и включен в состав дистрибутиваOpenSUSE под именем AppArmor.Постепенно он был адаптирован для некоторыхxàêåð 08 / 104 / 07xàêåð 08 / 104 / 07092092