Mniej wiecej Mon, Dec 11, 2006 at 11:05:36AM +0100, zainteresowany Arkadiusz Miskiewicz rzekl: > On Monday 11 December 2006 01:44, Zbyniu Krzystolik wrote: > > > > Nie chodzi o flame tylko o to czy mod_apparmor można używać w jakiś fajny > > > sposób (np. różne konteksty dla różnych virtualek) ? Normalnie tak się > > > daje robić (via selinuxa) tylko dla skryptów CGI, dla shared .so się nie > > > da (a wynika to ze sposóbu działania selinuxa). > > > > Właśnie cała radość w tym, że tak. I pewnie dlatego tak ktoś ujął ten > > opis. :) > > Można definiować profile (konteksty wykonania) per Directory, Location, > > Vhost, łącznie z obsługą mod_php. Jeszcze nie odpalałem, jutro od rana > > będę to dręczył. > > Wow, coś pięknego :-) Trzeba się będzie zainteresować.
Działa zgodnie z intencjami :). Szkoda, że to tylko dostęp do plików, brakuje odrobinę ograniczeń na gnizdka sieciowe, limitów itd, no ale cóż - to i tak b. miłe rozwiązanie. > > Zestaw do samodzielnego montażu: > > ftp://ftp.iapt.pl/wypieki/ (pndir) > > - jądro kernel-grsecurity-*2.6.16.34-1 to pldowe + apparmor. Musi być > > append="capability.disable=1", bo to cholerny LSM. > > - *apparmor* > Poczekam aż wszystko commitniesz. Łatkę dla jądra 2.6.16 dołożyłem, narzędzia są do dopracowania: - nie ma skryptów startowych, oryginalne są okropne przez wsteczną kompatybilność - profile w wielu miejscach mają się nijak do PLD, mogę je przeportować (z polityk grsec), ale musi byc wola w narodzie do używania ich. Zbyniu -- %% Absolutely nothing we trust %% _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
