Ostatnio próbowałem tworzyć profile do modułu apparmor - który jest zainstlowany domyślnie w ubuntu.
Kierowałem się tym sposobem: viewtopic.php?t=84657&highlight=apparmor
Moje wnioski - sposób mało skuteczny i niepotrzebnie skomplikowany.
Moja propozycja - stworzenie skryptu - do tworzenia profili dla apparmor - opierającego się o działanie programu strace - działającego na zasadzie podobnej do programu makejail.
Krótko piszac - skrypt uruchamiany poleceniem np:
Kod: Zaznacz cały
skrypt -n nazwa_programu_dla_którego_tworzymy_profil
Działanie niemal identyczne z programem makejail - służącym do przenoszenia programów do środowiska chroot - http://packages.debian.org/search?keywords=makejail.
Bardzo podobna metoda działania - lecz trochę inny rezultat - tworzenie profilu do apparmora - zamiast środowiska chroot.
Być może ktoś zapyta - czemu tworzyć profil - zamiast rzeczywiście przenieść program do chroot'a.
Ale czy ktoś sobie może wyobrazić w chroocie np. pidgina, kadu i inne komunikatory, mplayer, totem,vlc, xine - i inne programy - które łącza się z internetem odtwarzając media strumieniowe, thunderbirda, firefoxa i operę, czy chociazby skype, twinkle i inne komunikatory głosowe - które są stale "online" - i przez to są podatne np. na atak przepełnienia bufora?
Krótko mówiąc - narzędzie do wygodnego tworzenia profili - które jest jak najbardziej wykonalne - dla kogoś - kto dobrze zna pythona, perla lub inny język programowania - aby stworzyć takie narzędzie.
Narzędzie możliwie proste w obsłudze - i skuteczne.
Moim zdanie - coś takiego jest wykonalne, potrzebne i przydatne - do tego - aby Ubuś był nie tylko najładniejszy - ale również - aby po pewnym czasie poziomem bezpieczeństwa nie ustępował projektowi gentoo-hardened, przy znacznie większej wygodzie i prostocie obsługi.
Pozdrawiam