[linux] ANNOUNCE: Medusa DS9 security system

Milan Pikula - WWW www na banan.napri.sk
Úterý Listopad 9 21:28:06 CET 1999


Dobry den,

Tymto si dovolujem upozornit na uvolnenie prvej stabilnej verzie
 bezpecnostneho systemu Medusa DS9, zameraneho na zvysenie bezpecnosti OS
 Linux. Medusa je vyvijana ako projekt Slovenskeho zdruzenia pouzivatelov
 Linuxu (SkLUG). Stiahnut sa da na adrese

	http://medusa.fornax.sk/

Medusa sa sklada zo zmien v kerneli a uzivatelskeho demona. Zmeny v kerneli
 su zamerane na sledovanie syscallov, akcii suboroveho systemu, procesov a
 implementuju komunikacny protokol. Bezpecnostny demon cez znakove zariadenie
 komunikuje s kernelom prostrednictvom "paketov". Demon obsahuje cele
 rozhodovanie a implementuje konkretnu bezpecnostnu politiku. To znamena,
 ze meduza moze, na rozdiel od inych pristupov, implementovat akykolvek
 model ochrany dat - zalezi od konfiguracneho suboru, ktory je vlastne
 programom v internom programovacom jazyku.

Z logickej urovne su zavedene tieto zmeny:
 * rozdelenie procesov, suborov a IPC do nezavislych skupin
   (virtualnych subsystemov)
 * moznost zachytit, zakazat alebo pozmenit lubovolne volanie jadra
   od kazdeho procesu
 * moznost zachytit, ... vybrane "procesove akcie" - zasielanie
   signalov, exec, ...
 * moznost zachytit, presmerovat, ... vybrane suborove akcie, teda pristup
   k suboru a podobne
 * moznost vnutit procesu lubovolny kod, napriklad na vnutene logovanie
   z tohto procesu a pod.

Dovolim si este predom odpovedat na niekolko najcastejsich otazok:
 Q aky je vztah medzi meduzou a capabilities?
 A meduza PODPORUJE capabilities a dokaze ich testovat, nastavovat a menit
 Q ako spomaluje komunikacia kernelu a user-space demona realny beh systemu?
 A prakticky nijako. meduza bola navrhovana s ohladom na rychlost a vsetky
   informacie su v kerneli uchovavane a sledovanie jednotlivych udalosti sa
   da presne vymedzit. za realnej prevadzky relativne vytazeneho servera, kde
   meduzu dlhodobo testujeme, je traffic asi 2 pakety za 11 sekund. to, ze je
   demon v user-space mu dava pohodlie pri rozhodovani o ebzpecnostnych
   otazkach a zaroven zvysuje portabilitu systemu.
 Q kde to beha?
 A linux 2.2.5 az 2.2.13, intel. nemame dostatocne otestovanu podporu SMP,
   ale podla poslednych sprav meduza behala na 2-procesorovom serveri.
 Q kde najdem viac informacii?
 A na stranke http://medusa.fornax.sk/ a v adersari doc v baliku. Proces tvorby
   dokuemntacie zatial viazne na nedostatku ludi, takze ak chcete pomoct...

S pozdravom,
	Medusa development team
		Marek Zelem
		Martin Ockajak
		Milan Pikula

--
Milan Pikula, WWW. Finger me for Geek Code.
http://fornax.elf.stuba.sk/~www, www na fornax.elf.stuba.sk
.. dajte mi pevnu linku a pohnem zemegulou ..






Další informace o konferenci linux