Часть 2.1. SELinux. MLS и MCS: что с чем едят. MLS.

Продолжаем разговор, начатый постом «Часть 1. SELinux. Максимальный уровень защиты – бесплатно».

Вслед за сообщениями о сертификации Red Hat Enterprise Linux 5 по Common Criteria EAL4+ (c расширениями LSPP, RBACPP и CAPP) на серверах HP и IBM, компания HP объявила о начале предоставления услуги поддержки конфигурации RHEL с включенной многоуровневой системой безопасности (multilevel security -MLS).

Что здесь понимается под MLS? MLS – это еще одна форма принудительного контроля доступа (mandatory access control - MAC), доступная нам при использовании SELinux. Политика с поддержкой MLS является опциональной и для большинства пользователей она будет намного менее полезной, чем принудительный контроль на основе Type Enforcement (TE) – основного механизма, используемого в SELinux. Но MLS – это «пропуск» для операционной системы в государственные и военные организации, где без такого рода разграничения полномочий не обойтись.

История Англии: Window Tax

В последнее время увлекаюсь изучением истории Англии. Так вот, знаете ли вы, что словосочетание «налог на окна» («Window Tax», или, как следует из Wikipedia, иногда - «Microsoft Tax»), которое у «айтишников» ассоциируется с необходимостью платить за пре-инсталлированную OEM-версию операционной системы, поставляемую вместе с ПК, даже если вы не собираетесь ее использовать, это – реально существовавший когда-то налог.


Этот налог был введен в 1696 королем Вильгельмом III, и отменен только лишь в 1851 году (год Всемирной Промышленной Выставки). Смысл кажущегося сейчас абсурдным большинству людей налога в том, что чем больше у вас окон в доме, тем больший налог вы платите. Доходило до того, что домовладельцы специально заколачивали в домах часть окон, а в Эдинбурге так и вовсе был построен квартал с домами без окон.

Перевод отличной книги по ядру ОС

Последние несколько месяцев я веду в журнале «Системный администратор» рубрику обзоров «Книжная полка». Это позволяет оставаться в курсе книжных новинок русскоязычной литературы, не тратя время и деньги на походы по книжным магазинам. И вот сегодня, просматривая новинки, наткнулся на книгу, IMHO абсолютный «must buy», которая у меня займет место на полке рядом с «Операционными системами» Эндрю Таненбаума и «Внутренним устройством Microsoft Windows…» Руссиновича и Соломона. В оригинале «Understanding the Linux Kernel (3rd Edition)» я приобрел еще год назад. А теперь отечественному читателю издательство «БХВ-Петербург» предоставило возможность ознакомиться с этой классической книгой по устройству ядра современной открытой операционной системы и на русском. В переводе книга вышла под названием «Ядро Linux, 3-е издание». В руках книжку я еще не держал, так что про качество перевода пока ничего не скажу.

Еще одна площадка для блогов

На прошедшей неделю назад конференции для сертифицированных тренеров Microsoft Ренат Минаждинов (MSFT) рекламировал новый ресурс itcommunity.ru в качестве площадки для блогов it-профессионалов. Ну, раз нас всех туда звали - встречайте, и не жалуйтесь, что в текстах слово “Linux” встречается :)

Этот пост должен появиться параллельно с оригинальным блогом и на itcommunity.ru. С импортом же старых сообщений движок почти справился, опустив, правда, некоторые теги. Кстати, на itcommunity.ru, насколько я понял, используется то же ПО что и на itblogs.ru Михаила Елашкин (communityserver.org). Там как раз проблем с импортом не было. Плюс форматирование в ряде случаев расползается. Видимо, не тестировали под Firefox, но, учитывая статус беты на логотипе, это, безусловно, простительно.

AppArmor от Novell больше “не от Novell”?

Когда говорят о мандатном контроле доступа (MAC) в Linux, обычно сравнивают Novell AppArmor (система более простая в использовании) и Fedora/RHEL SELinux (система, обеспечивающая более комплексную защиту). Так вот, на днях стало известно, что Novell уволил лидера проекта AppArmor Crispin Cowan вместе с еще четырьмя разработчиками, работавшими над этим проектом. Cowan, ошеломленный увольнением, не собирается бросать свое детище. Он создал консалтинговую компанию Mercenary Linux, и, видимо, ждет, когда ее кто-нибудь поглотит: “If somebody loves us and one day wants to acquire Mercenary, that’s great.”