Mandatory access control

MAC vs DAC – short
MAC types, history

SELinux
El sistema mas fuerte, pero también es el mas complejo de administrar.
No posee un modo de aprendizaje, por lo que todas las reglas vienen incorporadas y deben ser adoptadas a lo que uno busca.
Funciona agregando etiquetas adicionales a todos los archivos en el sistema, haciendo falta reindexar el volumen/partición al agregar un disco externo por ejemplo.
La ventaja que nos da, es que al hacer un link hacia el archivo, las restricciones se siguen aplicando.
En cambio con los sistemas que detallo a continuación tendríamos una potencial brecha de seguridad, ya que únicamente trabajan con rutas.
Distro de cabecera: Redhat

grsecurity
Modo de aprendizaje, probado en ambientes de web hosting compartido y bastante usado.
Últimamente dejo de ofrecer la version estable de manera gratuita, existe una version gratis igualmente

AppArmor
Un set que también se encuentra en el núcleo, posee modo de aprendizaje para fácil mantenimiento.
Es bastante conocido por el concepto de hacer que la seguridad no sea compleja de implementar (refiriéndose a SElinux)
Distro de cabecera: Ubuntu

TOMOYO
Un proyecto Japones y como simpatizamos con Samurai, vamos a probarlo.
A su vez se segmenta en 3 versiones:
Tomoyo 1.x – legacy, pero es el que mas características ofrece
Tomoyo 2.x – actualmente parte de nucleo de linux
AKARI – Un fork de Tomoyo 1.x para poder portar los cambios
Por una de estas razones de la vida, la mejor documentación que encuentro es de Archlinus.

Mundo perfecto
Idealmente cada aplicación debe venir con su set de reglas que detallan que recursos esta puede llegar a usar.
Con un formato en común se podría dar fin a la discusión de que MAC es mas fácil de implementar o para cual resulta mas cómodo crear reglas, para finalmente enfocarnos en cual es el mejor.
Algo así ya paso con LSM, una api común para todos los MAC en materia de integración con el kernel.
Este concepto esta basado en el hecho de que nadie conoce mejor a la aplicación que su desarrollador y me llama la atención que aun no se haya propuesto (o al menos no encontré referencias a proyectos similares).

Deja un comentario

Para proteger el blog de SPAM, le pedimos que complete la tarea:WordPress CAPTCHA