Podobnych bezpecnostnich patchu je vice, krome LIDS bych jmenoval alespon RSBAC a GRSECURITY. S LIDSem jsem si chvili hral tak pred pul rokem, ale odradil me velky neporadek v tech patchich, musel jsem se v tom hodne vrtat, aby to fungovalo apod.
Nejakou dobu pouzivam GRSECURITY, na ktery si nemuzu nijak stezovat. Krome ACL systemu mate moznost zaintegrovat spoustu dalsich veci jako non-exec pages, ochranu ruznych veci v /proc, randomizace vseho mozneho (PID, mm, TCP/IP) a mnoho dalsiho. Hezke je na nem prave to, ze MUZETE, nemusite.
Pokud jde o GRSECURITY ACL, tak jsou mnohem propracovanejsi nez v LIDSu, coz je dost znat pri administraci. Velmi uzitecny je napriklad "ucici" rezim, ktery funguje asi tak, ze nastavite restriktivni pravidla, a uvedete procesy, ktere se maji "ucit". Kdyz tyto procesy pravidla porusi, pristup neni odepren, ale logovan, a pote se z toho daji sestavit optimalni ACL.
Ano, naprosto s vami souhlasim.
Sam pouzivam RSBAC a kombinaci ACL, RC modulu povazuji za velmi mocny nastroj. v posledni dobe jsem zacal experimentovat s NET Templates a JAIL modulem.
Stejne jako u ostatnich projektu ani zde neni uplne trivialni odladit spravnou politiku. Chce to o systemu hodne vedet.
Na druhou stranu, pokud odladite 'jadro systemu', muzete dalsi veci pridavat jako moduly (web, mail, databaze ....atd) a pak uz je to hacka.
ČLÁNKY DO MAILU