SELinux + Apparmor - page 2 - Linux

Forum Security-X > Linux

SELinux + Apparmor

<< < (2/4) > >>

WawaSeb:
Bonjour à tous, salut igor51,

Quelqu'un a-t-il une expérience avec "grsecurity" ?
D'après mes lectures, il est légèrement "parano"... mais semble efficace (si bien configuré).

Lien (officiel) : https://grsecurity.net/compare.php

@ vous lire,
:miam:

Tawal:
Hello,

Aucune expérience avec grsecurity :-X

Un autre lien de comparaison : http://www.cyberciti.biz/tips/selinux-vs-apparmor-vs-grsecurity.html

Au plaisir :AAN

igor51:

--- Citer ---Quelqu'un a-t-il une expérience avec "grsecurity" ?
--- Fin de citation ---
Oui moi.

Grsecurity est un pbac, il ajoute des acl aux processus (sujet) du système.
En terme de granularité, SELinux est meilleur mais la contrainte c'est qu'il est plus difficile à configurer
Grsecurity est plus accessible, mais, comme il agit en tant que patch noyau, il est moins maintenable (faut recompiler le noyau à chaque fois)
AppArmor, vis à vis des autres, ne sert à rien

Attention : il faut bien différencier Grsecurity de PAX. L'un est un MAC tandis que l'autre est un mécanisme de protection contre l'exploitation. On peut appliquer GrSec sans PAX et inversement.

(je n'ai pas lu le lien, je le ferai ce soirà)

igor51:
J'ai lu rapidement le lien

On peut déjà rajouter :
- SMACK
- TOMOYO
- RSBAC

De plus, tous les MAC ont un impact sur les performances, ça va dépendre de ce qu'ils font, de la taille de leur policy et de leur implémentation. Ce n'est pas parce que l'auteur n'arrive pas à la mesurer qu'il n'y en a pas ^^

Après je ne suis pas d'accord sur tous les points, mais c'est plus une vision personnelle des choses

Tawal:
Re,

--- Citer ---De plus, tous les MAC ont un impact sur les performances, ça va dépendre de ce qu'ils font, de la taille de leur policy et de leur implémentation. Ce n'est pas parce que l'auteur n'arrive pas à la mesurer qu'il n'y en a pas ^^
--- Fin de citation ---
Ça m'a surpris aussi.
Toute action demande un laps de temps et de la ressource ...

Je vais déjà voir si je me dépatouille dans la compréhension de SELinux ;D

Navigation

[0] Index des messages

[#] Page suivante

[*] Page précédente

Sortir du mode mobile