On Sat, 2007-03-24 at 20:16 +0200, Emre Sevinc wrote: > -----Original Message----- > From: Recai Oktas on behalf of roktas > Sent: Sat 3/24/2007 4:45 PM > To: [email protected] > Subject: Re: Bir kullanicinin belli kullanicilarin proseslerini > görmemesini saglamak kolayca mümkün mü? > > > yapacaklardir; bildigim kadariyla bu isin en eli yüzü düzgün çözümü > SELinux > > kullanmak. SELinux alt yapisi (paketler+policy) Manoj > Srivastava'nin büyük > > çabalariyla Debian'da kolaylikla kullanilir hale geldi. Google'da > küçük > > bir arama yaparsan ilgili NASIL belgelerine ulasabilirsin. >
Bir başka opsiyon da grsecurity kullanmak olabilir. http://www.grsecurity.net/ An intelligent and robust Role-Based Access Control (RBAC) system that can generate least privilege policies for your entire system with no configuration * Change root (chroot) hardening * /tmp race prevention * Extensive auditing * Prevention of arbitrary code execution, regardless of the technique used (stack smashing, heap corruption, etc) * Prevention of arbitrary code execution in the kernel * Randomization of the stack, library, and heap bases * Kernel stack base randomization * Protection against exploitable null-pointer dereference bugs in the kernel * Reduction of the risk of sensitive information being leaked by arbitrary-read kernel bugs * A restriction that allows a user to only view his/her processes * ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ * * Security alerts and audits that contain the IP address of the person causing the alert Her ne kadar ben hep rsbac ile grsecurity arasında kalsam da rsbac'nin UNIX komutu satırı grsecurity'nin MS-DOS komut satırı gibi olduğu veya rsbac'nin ferrari iken grsecurity'nin bisiklet olduğu gibi benzetmeler rsbac'nin özellikleri hakkında fikir verici olabilir. Ki bunun yanında grsecurity'e oranla oldukça yavaş olması da ayrı bir durum teşkil etmekte. Bir başka dezavantajı ile grafik (en son ncurses idi yanlış hatırlamıyor isem) bir arabirimi olmasına rağmen kurulumu gerçekten zor ve öğrenmesi zaman alıyor zaten bu nedenle UNIX komut satırına benzetiliyor :) Ben uğraşırken sadece makinanın açılmasını sağlamak için birkaç defa tekrar tekrar konfig yapıp reboot etmem gerekmişti. Bu arada tabii şu an hangi versiyon üzerine dayalı olduğunu bilmemekle beraber (en son debian stable idi) rsbac'i direkt içinde barındıran adamantix dağıtımı da aşırı güvenlik meraklıları için ilgi çekici olacaktır. Zaten dağıtımın sloganı: "Created by administrators for administrators" evet hemen bir yakınlık hissediliyor değil mi :) www.grsecurity.net www.rsbac.org www.adamantix.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
