Rick Janda schrieb am 11. Januar 2006 9:07
> LIDS, SELinux, grsecurity, RBAC und jetzt noch AppArmor.
LIDS ist ein "Intrusion Detection System" und damit etwas voellig
anderes (es soll dafuer sorgen, dass ein Versagen der Security-
Policy nicht unbemerkt bleibt, wenn es denn mal dazu kommen sollte).
AppArmor ist die einzige solche Erweiterung, die nicht gleich eine
komplette Umstellung des Systems erfordert, sondern bei der man
einzelne Anwendungen nacheinander umstellen (fuer diese einzelnen
Anwendungen Policys entwerfen und aktivieren) kann (jedenfalls
wenn ich die Ankuendigung richtig verstanden habe). Damit hat es
sicher seine Berechtigung.
> Alle bieten mehr oder weniger die selben Möglichkeiten
Nein, die oben erwaehnte Moeglichkeit, das System nach und nach
umzustellen ist AFAICS ein Alleinstellungsmerkmal von AppArmor.
> aber keins davon bietet alles
Was genau fehlt dir z.B. bei SELinux?
> und jedes System ist anders zu konfigurieren.
Das bringt es nun mal mit sich, wenn unterschiedliche Projekte
(auch fuer unterschiedliche Ansprueche) gestartet werden ...
> LIDS, SELinux, grsecurity, RBAC und jetzt noch AppArmor.
LIDS ist ein "Intrusion Detection System" und damit etwas voellig
anderes (es soll dafuer sorgen, dass ein Versagen der Security-
Policy nicht unbemerkt bleibt, wenn es denn mal dazu kommen sollte).
AppArmor ist die einzige solche Erweiterung, die nicht gleich eine
komplette Umstellung des Systems erfordert, sondern bei der man
einzelne Anwendungen nacheinander umstellen (fuer diese einzelnen
Anwendungen Policys entwerfen und aktivieren) kann (jedenfalls
wenn ich die Ankuendigung richtig verstanden habe). Damit hat es
sicher seine Berechtigung.
> Alle bieten mehr oder weniger die selben Möglichkeiten
Nein, die oben erwaehnte Moeglichkeit, das System nach und nach
umzustellen ist AFAICS ein Alleinstellungsmerkmal von AppArmor.
> aber keins davon bietet alles
Was genau fehlt dir z.B. bei SELinux?
> und jedes System ist anders zu konfigurieren.
Das bringt es nun mal mit sich, wenn unterschiedliche Projekte
(auch fuer unterschiedliche Ansprueche) gestartet werden ...