wizzard: (Default)
wizzard ([personal profile] wizzard) wrote2009-12-10 06:42 pm
  • Add Memory
  • Share This Entry

Зачем нужна Group Policy, или Linux становится популярным

кажется, линуксоиды начинают понимать, что некоторые вещи являются не "страшной переусложненной хуйней", а имеют вполне аргументированные причины своему появлению, и принцип KISS применим тоже (увы) не ко всему.

а еще фраза "security from the ground up" очень двусмысленна теперь.

Просто под Linux никто не пробовал писать вирусы. А теперь смысл появился. Короче, проблему малой распространенности OSS-сообщество худо-бедно решило, "now they have two problems".
а именно, Security by Unnecessarity, по-нашему "Метод Неуловимого Джо", начинает давать сбои

>> притом почти никакие интеллектуальные средства защиты в популярные дистрибутивы не интегрированы, вся надежда на добросовестность и глазастость мантейнеров.
via анонимный комментатор на opennet
Flat | Top-Level Comments Only

[identity profile] gds.livejournal.com 2009-12-10 07:04 pm (UTC)(link)
принцип KISS применим ко многому, чем и годен для жизни. В среднем, чаще переусложняют, нежели слишком упрощают.

Да и политика вида "сначала посмотрим на повреждения, а потом будем строить защиту" в последнее время приобретает лично для меня всё больше смысла. Часто люди беспокоятся о совершенно ненужных вещах. Не конкретно в этом случае, а вообще.
wizzard: (Default)

[personal profile] wizzard 2009-12-10 07:19 pm (UTC)(link)
Да, это тоже правильно. И простые системы чаще безопаснее сложных. Сложность везде начинается на контакте с внешним миром. В данном случае она происходит из попытки отразить матрицу доверия к разным людям в систему пермишнов - раньше были гики и гики, сейчас появились гики, хакеры и ламеры, соответственно, система потребовала усложнения.

Вообще, виндовый Authenticode и прочая фигня тоже небезгрешны, конечно, но пока что держатся более-менее уверенно.

[identity profile] sashman.livejournal.com 2009-12-10 07:44 pm (UTC)(link)
што значит нет вирусов для луниксов

как же черви-автодефейсеры!
wizzard: (Default)

[personal profile] wizzard 2009-12-10 08:20 pm (UTC)(link)
так эта вирусы для вебаппликух имхо)

[identity profile] w00dy.livejournal.com 2009-12-14 03:39 am (UTC)(link)
я об этом давно говорил и недавно даже в жж написал, причём в линупсе принято слепо верить непогрешимости репозитария, а о том что любой вирусняк может поменять ключи и пути к репозитариям - никто не задумываются. Даже есть мысли написать что-то подобное, чтобы внедрилось в систему так, что только full reinstall спасал бы.
wizzard: (Default)

[personal profile] wizzard 2009-12-14 04:58 am (UTC)(link)
да, то есть инфраструктура как бы есть, но работала она по сей день в тепличных условиях. ничего, дождемся еще вирусов в компиляторах (google Delphi virus) и подобной фигне :)

[identity profile] fi_mihej.livejournal.com 2009-12-17 02:52 pm (UTC)(link)
Кстати о секурности: есть ли под винду аналог selinux/apparmor? Единственное, что я нашел: ThreatFire (можно настраивать разные правила на запись/измерение/переименование/запуск, но работают они чисто по настроению программы: браузерам полюбому все можно, защитить весь корень нельзя, добавление папок требует много движений и т.д. Но моно делать копии правил, что бы не создавать новое правило заново, только ради мелких изменений) Comodo Internet Security (правило одно: можно писать/изменять, защищенные данные, или нельзя. Но работает четко. Добавление защищаемых данных удобно и быстро. Копировать правила нельзя поэтому для каждой программы, одного типа - следует создавать заново одни и те же правила). Запретить считывание данных ни там, ни там - нельзя. :/
wizzard: (Default)

[personal profile] wizzard 2009-12-17 03:06 pm (UTC)(link)
Расскажите, что оно позволяет запретить помимо того, чего можно добиться ACL'ами на обьекты ядра и на файловую систему, может подскажу.

hint: можно пробовать гуглить по словам "блокировка usb-устройств" или "защита от утечек информации", если я правильно вас понимаю...

[identity profile] fi_mihej.livejournal.com 2009-12-17 03:12 pm (UTC)(link)
Спасибо...
Хм. А чего так официально? Аллергия на глупые вопросы? Тю.
wizzard: (Default)

[personal profile] wizzard 2009-12-17 03:17 pm (UTC)(link)
Сорри, если задел чем. Ну, серьезно. У меня официальный тон возникает тогда, когда я не совсем понимаю сути вопроса и желаю избавиться от двусмысленностей хотя бы в своих фразах.

[identity profile] fi_mihej.livejournal.com 2009-12-17 03:27 pm (UTC)(link)
А, ясно - ОК. :)

[identity profile] fi_mihej.livejournal.com 2009-12-17 03:39 pm (UTC)(link)
Ищу готовый инструмент, с помощью которого можно ограничивать доступ к отдельным участкам ФС, не на уровне пользователя/группы, а на уровне отдельных приложений.
wizzard: (Default)

[personal profile] wizzard 2009-12-17 03:40 pm (UTC)(link)
Ярлык на runas и вперед :)

Ну, то есть, я серьезно не понимаю, в чем профит такой системы. Если хочется сохранить пути к "Мои документы" и пр. - то там ключ есть, который оставляет текущий environment, вроде.

[identity profile] fi_mihej.livejournal.com 2009-12-17 03:58 pm (UTC)(link)
Ярлык на runas и вперед :)

Это не тру - не удобно - уже юзал под XP.

Ну, то есть, я серьезно не понимаю, в чем профит такой системы.

Профит в том, что если, к примеру, в браузере найдется 0-day уязвимость позволяющая получить контроль над браузером, и заразу, эксплуатирующую эту уязвимость, ты только что подхватил - то ничто не помешает браузеру-зомби стереть нафиг всю не системную, пользовательскую информацию. Даже получение рутовых привилегий ненужно. Мне например пофиг, будет ли снесена виндовая дирректория (систему переустановил и норм) - важно данные свои сохранить, а бекап занимает время, имеет заметный лаг, требует очень много места. Кроме того вполне можно наткнутся на "шутку", или просто ошибку некого программиста, приводящую к удалению всего, к чему у пользователя есть доступ. В случае браузера - запуск от имени другого пользователя не поможет, т.к. браузер полюбому будет иметь доступ ко всему, что сказал. А в скачанных данных могут быть и важные данные, которые еще незабекаплены.
wizzard: (Default)

[personal profile] wizzard 2009-12-17 04:02 pm (UTC)(link)
эээ, я думал, UAC именно от этого и защищает. Правда, защищает только в IE :)

(ну то есть, я реально пробовал, ActiveX самоподписанный не может удолять файлы из my documents, только create и append может. А firefox и опера можють, если йаваскрипту такое разрешить :))

А анальное огораживание браузера, кстати, не поможет, у флэша и у акробата отдельные хелпер-процессы, блиа.

Проблема понятна, короче. Но как ее решать - я не знаю, потому что, с одной стороны, браузеру все равно нужно куда-то писать (файлы качать, хистори писать\читать, букмарки, рсс кэшироватьь)

с другой стороны очень мало вирусов сейчас деструктивные, все в основном читаютъ.

[identity profile] fi_mihej.livejournal.com 2009-12-17 04:23 pm (UTC)(link)
Решать (в т.ч. и для хелпер процессов) - не проблема: изначально - запрещено все (или не все - в зависимости от "интеллектуальности" защиты), но по попытке доступа - выдается запрос пользователю. Как и в случае нормальных фаерволов, которые в основном в Винде и живут (Comodo, Outpost, и т.д.) - в линуксе я вроде, только один, или два встречал.
Зато для Линупса - SELinux есть, который умеет запрещать не только писать, но и читать, а вот под Виндой - только пара программ, которые запретить читать не могут, но по крайней мере - выдают запросы пользователю, что сильно упрощает дело.
wizzard: (Default)

[personal profile] wizzard 2009-12-17 04:55 pm (UTC)(link)
(лирическое отступление)
аутпост? боже упаси. нет, нет и еще раз нет :)

был бы я админом, наверное, в приказном порядке его сносил бы. сколько он софта ломает, причем труднодиагностируемо - не перечесть...

"у нас при драгндропе из 3dsmax в фотошоп вылетает BSOD, если входить в сеть через VPN". шикарно, я считаю.

А еще он почему-то упорно не запоминает правила (точнее, пачками их генерирует, не ассоциируя их с программой после ее перезапуска), и приучает пользователей пофигистично кликать "Да", что вредно.

Задумки у них хороши, но юзабилити у проги ниже плинтуса, увы.
Надо кстати посмотреть насчет других фаерволов, я не думаю что такая идиосинкразия повальна :)

[identity profile] fi_mihej.livejournal.com 2009-12-17 05:41 pm (UTC)(link)
Да уж - кошмар.

Я им когда то давно пользовался, но потом на Комодо бесплатный, перешел. Ну и сейчас, когда искал средство подходящее - поставил, увидел, что в нем нету того, что ищу - и снес. :)

Забавная штука: бесплатные и даже опенсорсные (в основном - просто постфактум, сканирующие систему на наличие изменеиний), хоть и неполные средства - есть, а платные - либо вообще отсутствуют, либо какие то монструозно-секретные, как в trend-micro: "оставьте свои данные - мы подумаем и может быть отправим вам ссылку на видео с презентацией того, что получится, когда сотрудник попробует скопировать конфиденциальные данные, а пока почитайте ту воду, которую мы вылили на сайт под видом описания". Мало того, что ихняя система, походу просто сканирует весь трафик между устройствами (ну быть может и память процессов - хз) на наличие сигнатур конфиденциальных данных (гигабайтов их - ага), так еще и наверно пользователей расстреливает на месте, рас уж такая секретность. :D
wizzard: (Default)

[personal profile] wizzard 2009-12-17 05:44 pm (UTC)(link)
Аутпост когда-то был хорош, кстати. Только он со временем все изговняется и изговняется, потому что фичи добавляются, а юзабилити не улучшается, а общая устойчивость системы падает
Flat | Top-Level Comments Only