Smack и AppArmor

yura_n · 11 июля 2014, 18:29:37

У меня созданы два десятка правил для приложений, с помощью AppArmor, но хотелось бы и сетевую активность ограничивать, а AppArmor с некоторых пор это не умеет, только логирует. От мутного SELinux, который все это умеет, меня в дрожь бросает.

Почитал про Smack. Но не хотелось бы лишиться и того, что сделал раньше, с помощью AppArmor. Соответственно, вопрос: может ли Smack работать с AppArmor одновременно?

yura_n · 20 августа 2014, 21:37:45

Отвечаю на свой собственный вопрос. Не может. И то и другое требует свою безопасную файловую систему, которая не грузится, если конкретная система принудительного контроля доступа не установлена по умолчанию в ядре.
Раньше меня удивляло, почему Smack, система которую представляют как упрощенную систему принудительного контроля доступа, практически невостребована. Теперь понимаю. Документация местами просто нечитаемая. Примеров нет, вообще ни одного.
P.S. Оказалось, что оно еще и "дырявое". Любой процесс, который обладает какой-то возможностью (capabilities), получает приоритет над Smack, в соответствии с этой возможностью. Учитывая, что повальное большинство процессов, которые надо защищать, хоть одну такую возможность, но имеют, не говоря уже о каких-то вредоносных программах, Smack становится интересен разве что в качестве игрушки. Столько времени потратил зря...

yura_n · 11 сентября 2014, 20:57:20

В конечном итоге установил модуль Akari. AppArmor с Akari без проблем уживаются. Достиг желаемого результата.

Русскоязычное сообщество Debian GNU/Linux

Smack и AppArmor

yura_n

yura_n

yura_n