Comparando: SELinux X chroot
“Uma questão frequentemente feita é qual a melhor maneira de restringir um programa? Usando a maneira tradicional com chroot, ou usar SELinux para fazer isso? Veja uma opinião a respeito.”
Enviado por Jeronimo Zucco (jczuccoΘgmail·com) - referência (jczucco.blogspot.com)..
(postado por Augusto Campos)
Comentários dos leitores
Comentário de Gustavo Bittencourt
26/11/07 11:28 - usuário registrado #538
Com diz Alan Cox: chroot não é nem nunca será uma ferramenta de segurança
Comentário de tenchi
26/11/07 11:42 - usuário registrado #7284
Errata: Me deculpem, mas há um erro no texto. Acho que é "Chmod X SELinux", e não chroot. Chroot é uma maneira de modificar a localização do diretório raiz de um sistema. (Change Root - modificar raíz)
"Quem pensa por si mesmo é livre, e ser livre é coisa muito séria." - Legião Urbana
"Quem pensa por si mesmo é livre, e ser livre é coisa muito séria." - Legião Urbana
Comentário de cenoura
26/11/07 12:08 - usuário registrado #523
O texto está realmente: O texto está realmente comparando o chroot com o Selinux para isolar uma aplicação.
Gustavo Picoloto
http://cenoura.homelinux.com
Gustavo Picoloto
http://cenoura.homelinux.com
Comentário de hamacker
26/11/07 12:08 - usuário registrado #168
Voce engailoar uma: Voce engailoar uma aplicação ou serviço é uma estratégia de segurança.
Imagine usuários FTP/SSH/... bisbilhotando falhas de permissões em outrem.
Não é incomum voce ver receita de bolos onde é recomendado dar chmod 777 em alguns arquivos.
Eu só concordo que chroot não é a UNICA estrategia de segurança, fork-bombs estão aí para tudo que é mecanismo que não me deixam mentir.
Imagine usuários FTP/SSH/... bisbilhotando falhas de permissões em outrem.
Não é incomum voce ver receita de bolos onde é recomendado dar chmod 777 em alguns arquivos.
Eu só concordo que chroot não é a UNICA estrategia de segurança, fork-bombs estão aí para tudo que é mecanismo que não me deixam mentir.
Comentário de tenchi
26/11/07 12:25 - usuário registrado #7284
Ler mais é necessário: Pois eu tenho que aprender a ler mais antes de comentar.. hhauah
"Quem pensa por si mesmo é livre, e ser livre é coisa muito séria." - Legião Urbana
"Quem pensa por si mesmo é livre, e ser livre é coisa muito séria." - Legião Urbana
Comentário de Pedro
26/11/07 14:39
Existem formas de se escapar: Existem formas de se escapar do chroot. Claro que cada camada de segurança ajuda, mas o chroot oferece muito pouco - e nem tem a intenção de ser um mecanismo de segurança. O Selinux, por outro lado, foi criado exclusivamente para oferecer segurança - e robusta. Nesse quesito, oferece muito mais do que o chroot. É por isso que a afirmação do Alan Cox se justifica.
Abraços
Abraços