[linux] ANNOUNCE: Medusa DS9 security system
Milan Pikula - WWW
www na banan.napri.sk
Úterý Listopad 9 21:28:06 CET 1999
Dobry den,
Tymto si dovolujem upozornit na uvolnenie prvej stabilnej verzie
bezpecnostneho systemu Medusa DS9, zameraneho na zvysenie bezpecnosti OS
Linux. Medusa je vyvijana ako projekt Slovenskeho zdruzenia pouzivatelov
Linuxu (SkLUG). Stiahnut sa da na adrese
http://medusa.fornax.sk/
Medusa sa sklada zo zmien v kerneli a uzivatelskeho demona. Zmeny v kerneli
su zamerane na sledovanie syscallov, akcii suboroveho systemu, procesov a
implementuju komunikacny protokol. Bezpecnostny demon cez znakove zariadenie
komunikuje s kernelom prostrednictvom "paketov". Demon obsahuje cele
rozhodovanie a implementuje konkretnu bezpecnostnu politiku. To znamena,
ze meduza moze, na rozdiel od inych pristupov, implementovat akykolvek
model ochrany dat - zalezi od konfiguracneho suboru, ktory je vlastne
programom v internom programovacom jazyku.
Z logickej urovne su zavedene tieto zmeny:
* rozdelenie procesov, suborov a IPC do nezavislych skupin
(virtualnych subsystemov)
* moznost zachytit, zakazat alebo pozmenit lubovolne volanie jadra
od kazdeho procesu
* moznost zachytit, ... vybrane "procesove akcie" - zasielanie
signalov, exec, ...
* moznost zachytit, presmerovat, ... vybrane suborove akcie, teda pristup
k suboru a podobne
* moznost vnutit procesu lubovolny kod, napriklad na vnutene logovanie
z tohto procesu a pod.
Dovolim si este predom odpovedat na niekolko najcastejsich otazok:
Q aky je vztah medzi meduzou a capabilities?
A meduza PODPORUJE capabilities a dokaze ich testovat, nastavovat a menit
Q ako spomaluje komunikacia kernelu a user-space demona realny beh systemu?
A prakticky nijako. meduza bola navrhovana s ohladom na rychlost a vsetky
informacie su v kerneli uchovavane a sledovanie jednotlivych udalosti sa
da presne vymedzit. za realnej prevadzky relativne vytazeneho servera, kde
meduzu dlhodobo testujeme, je traffic asi 2 pakety za 11 sekund. to, ze je
demon v user-space mu dava pohodlie pri rozhodovani o ebzpecnostnych
otazkach a zaroven zvysuje portabilitu systemu.
Q kde to beha?
A linux 2.2.5 az 2.2.13, intel. nemame dostatocne otestovanu podporu SMP,
ale podla poslednych sprav meduza behala na 2-procesorovom serveri.
Q kde najdem viac informacii?
A na stranke http://medusa.fornax.sk/ a v adersari doc v baliku. Proces tvorby
dokuemntacie zatial viazne na nedostatku ludi, takze ak chcete pomoct...
S pozdravom,
Medusa development team
Marek Zelem
Martin Ockajak
Milan Pikula
--
Milan Pikula, WWW. Finger me for Geek Code.
http://fornax.elf.stuba.sk/~www, www na fornax.elf.stuba.sk
.. dajte mi pevnu linku a pohnem zemegulou ..
Další informace o konferenci linux