On Tuesday 12 December 2006 02:16, Zbyniu Krzystolik wrote: > > Wow, coś pięknego :-) Trzeba się będzie zainteresować. > > Działa zgodnie z intencjami :). Szkoda, że to tylko dostęp do plików, > brakuje odrobinę ograniczeń na gnizdka sieciowe, limitów itd, no ale > cóż - to i tak b. miłe rozwiązanie.
Gniazdka sieciowe można nieco ograniczyć via grsecurity, limity takie jak daje ulimit są w apaczu. Najważniejszym problemem i tak był dostęp do plików dla mod_xyz, którego do tej pory nic sensownie nie rozwiązywało. > > > > Zestaw do samodzielnego montażu: > > > ftp://ftp.iapt.pl/wypieki/ (pndir) > > > - jądro kernel-grsecurity-*2.6.16.34-1 to pldowe + apparmor. Musi być > > > append="capability.disable=1", bo to cholerny LSM. > > > - *apparmor* > > > > Poczekam aż wszystko commitniesz. > > Łatkę dla jądra 2.6.16 dołożyłem, narzędzia są do dopracowania: > - nie ma skryptów startowych, oryginalne są okropne przez wsteczną > kompatybilność Napisać własny będzie trzeba. > - profile w wielu miejscach mają się nijak do PLD, mogę je przeportować > (z polityk grsec), ale musi byc wola w narodzie do używania ich. Pakiet z profilami znów do poszatkowania na podpakiety tak by mieć osobno gołę narzędzia z gotową pustą strukturą katalogów + podpakiet z abstracjami + podpakiet z przykładowymi politykami. > Zbyniu U mnie póki co aa-genprof nie znajduje w logach nic sensownego (mimo, iż apparmor ładnie loguje co trzeba) i tym samym generuje durną, pustą politykę. -- Arkadiusz Miśkiewicz PLD/Linux Team arekm / maven.pl http://ftp.pld-linux.org/ _______________________________________________ pld-devel-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-devel-pl
