Generator profili do Apparmor

Tutaj można rozmawiać o propozycjach dla Dużego Brata (a następnie je zgłaszać)
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 3959
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Generator profili do Apparmor

Post autor: jacekalex » 24 mar 2009, 16:58

Witam

Ostatnio próbowałem tworzyć profile do modułu apparmor - który jest zainstlowany domyślnie w ubuntu.
Kierowałem się tym sposobem: viewtopic.php?t=84657&highlight=apparmor

Moje wnioski - sposób mało skuteczny i niepotrzebnie skomplikowany.

Moja propozycja - stworzenie skryptu - do tworzenia profili dla apparmor - opierającego się o działanie programu strace - działającego na zasadzie podobnej do programu makejail.

Krótko piszac - skrypt uruchamiany poleceniem np:

Kod: Zaznacz cały

skrypt -n nazwa_programu_dla_którego_tworzymy_profil
Po tym poleceniu skrypt sprawdzałby najpierw - czy dany program ma już profil, następnie logował zachowanie programu - przetwarzając wynik polecenia strace - i na koniec tworzył gotowy profil.

Działanie niemal identyczne z programem makejail - służącym do przenoszenia programów do środowiska chroot - http://packages.debian.org/search?keywords=makejail.

Bardzo podobna metoda działania - lecz trochę inny rezultat - tworzenie profilu do apparmora - zamiast środowiska chroot.

Być może ktoś zapyta - czemu tworzyć profil - zamiast rzeczywiście przenieść program do chroot'a.
Ale czy ktoś sobie może wyobrazić w chroocie np. pidgina, kadu i inne komunikatory, mplayer, totem,vlc, xine - i inne programy - które łącza się z internetem odtwarzając media strumieniowe, thunderbirda, firefoxa i operę, czy chociazby skype, twinkle i inne komunikatory głosowe - które są stale "online" - i przez to są podatne np. na atak przepełnienia bufora?

Krótko mówiąc - narzędzie do wygodnego tworzenia profili - które jest jak najbardziej wykonalne - dla kogoś - kto dobrze zna pythona, perla lub inny język programowania - aby stworzyć takie narzędzie.
Narzędzie możliwie proste w obsłudze - i skuteczne.

Moim zdanie - coś takiego jest wykonalne, potrzebne i przydatne - do tego - aby Ubuś był nie tylko najładniejszy - ale również - aby po pewnym czasie poziomem bezpieczeństwa nie ustępował projektowi gentoo-hardened, przy znacznie większej wygodzie i prostocie obsługi.

Pozdrawiam
;-)
Mark1
Serdeczny Borsuk
Serdeczny Borsuk
Posty: 126
Rejestracja: 20 wrz 2010, 18:07
Płeć: Mężczyzna
Wersja Ubuntu: 10.04
Środowisko graficzne: GNOME
Architektura: x86_64

Odp: Generator profili do Apparmor

Post autor: Mark1 » 22 paź 2010, 03:08

Pomysł dobry. Popieram :) Ale czy coś się dzieje w tym temacie?
Windows 7 & Ubuntu & Fedora powered by INTEL Core i7.
Android OS powered by SE Xperia X8.
Ubuntu for Netbook powered by INTEL Atom
Zablokowany

Wróć do „brainstorm.ubuntu.pl”