Outils pour utilisateurs

Outils du site


mac

Mandatory access control

ou “Contrôle d'accès obligatoire”

documentation

principe

Le principe est d'avoir des droits d'accès aux fichiers plus fins que les droits UNIX. Par exemple, un serveur apache doit pouvoir accéder a certains fichiers de configuration sous /etc/passwd, mais pas à /etc/shadow

les solutions existantes

apparmor

Initialement développé par Suse, et adopté par Mandriva. En 2008, le projet semble quasi arrêté, mais semble repris par Ubuntu en 2009 : sa pérennité est incertaine.
concrètement, il est assez facile a utiliser (test en mandriva 2008.1)

selinux

Initialement développé par le NSA et adopté par RedHat/Fedora, il est intégré au noyau linux.
cette solution s'appuie sur l'utilisation d'acl dans les inodes. Elle me semble assez complexe a administrer, et semble lourde pour le système.

tomoyo

Initialement développé par une société japonaise, le code vient d'être intégré au noyau linux, ce qui est un gage de stabilité et de pérennité.
cette solution est un peu comparable a apparmor, avec en plus des niveaux de fonctionnement (disabled, learning, enforcement …), associé un environnement (la hiérarchie des process appelants) C'est pour moi la meilleure solution actuelle, j'ai commencé de faire une doc d'utilisation

smack

intégré dans le noyau linux, basé sur des acl, un peu comme selinux. pas testé

eric gerbier 2009/09/16 10:56

mac.txt · Dernière modification: 2012/02/05 16:43 (modification externe)