<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
	<channel>
		<title>Security on Markelov.Dev</title>
		<link>https://markelov.dev/tags/security/</link>
		<description>Recent content in Security on Markelov.Dev</description>
		<generator>Hugo</generator>
		<language>en-gb</language>
		
		
		
			<copyright>© 2007-2026 Andrey Markelov</copyright>
		
		
			<lastBuildDate>Thu, 17 Mar 2011 09:05:00 +0000</lastBuildDate>
		
			<atom:link href="https://markelov.dev/tags/security/index.xml" rel="self" type="application/rss+xml" />
			<item>
				<title>Использование SELinux совместно с iptables</title>
				<link>https://markelov.dev/posts/selinux-iptables/</link>
				<pubDate>Thu, 17 Mar 2011 09:05:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/selinux-iptables/</guid>
				<description>&lt;p&gt;Dan Walsh, отвечающий в Red Hat за развитие SELinux опубликовал на Linux.com статью, посвященную использованию SELinux совместно с брандмауэром. &lt;a href=&#34;http://www.linux.com/learn/tutorials/421152-using-selinux-and-iptables-together&#34;&gt;Ссылка&lt;/a&gt;.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Развитие проекта sVirt в Fedora 11/RHEL</title>
				<link>https://markelov.dev/posts/svirt-fedora-11rhel/</link>
				<pubDate>Tue, 01 Sep 2009 08:41:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/svirt-fedora-11rhel/</guid>
				<description>&lt;p&gt;Я уже &lt;a href=&#34;http://markelov.blogspot.com/2009/02/svirt.html&#34;&gt;рассказывал&lt;/a&gt; в своем блоге о проекте sVirt, позволяющем изолировать при помощи мандатного контроля доступа гипервизор и отдельные виртуальные машины друг от друга. Если вы еще не знакомы с концепцией MAC, MLS и MSC, то вы можете почитать соответствующие &lt;a href=&#34;http://markelov.blogspot.com/search/label/SELinux&#34;&gt;записи в моем блоге с меткой SELinux&lt;/a&gt;. Не буду повторяться, а просто скажу, что уникальные преимущества в плане защищенности, доступные в операционных системах общего назначения с открытым исходным кодом уже можно живьем &amp;ldquo;пощупать&amp;rdquo; и в системах виртуализации (Fedora 11), а с выходом RHEL 5.4 и внедрить на предприятии.&lt;/p&gt;</description>
			</item>
			<item>
				<title>sVirt = Виртуализация &#43; Мандатный контроль доступа</title>
				<link>https://markelov.dev/posts/svirt/</link>
				<pubDate>Mon, 09 Feb 2009 19:55:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/svirt/</guid>
				<description>&lt;p&gt;Продолжу рассказ про перспективные разработки в области виртуализации. Давайте рассмотрим отдельно стоящий сервер, к которому в силу тех или иных причин злоумышленник получил доступ с привилегиями администратора. Плохо? Безусловно. Теперь у злоумышленника &amp;ldquo;ключи&amp;rdquo; от всех выполняющихся на сервере служб. А теперь представьте, что в роли сервера у нас машина с гипервизором, в котором работает какое-то количество виртуальных машин. Ситуация хуже во много раз: &amp;ldquo;плохие парни&amp;rdquo; получают доступ сразу ко всем виртуальным машинам. Тем более, что опасность увеличивается, благодаря использованию в случае гостевых операционных систем локальных механизмов атаки. Оставим в стороне конкретные технологии и конкретных вендоров. Не важно, чья модель безопаснее - Microsoft, VMWare, Citrix, Sun, etc. Никто не будет спорить, что от потенциальных уязвимостей не застрахован никто, вне зависимости от размеров возможной площади атаки.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Fedora Linux Security Guide</title>
				<link>https://markelov.dev/posts/fedora-linux-security-guide/</link>
				<pubDate>Mon, 22 Dec 2008 05:22:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/fedora-linux-security-guide/</guid>
				<description>&lt;p&gt;&lt;img src=&#34;https://markelov.dev/posts/fedora-linux-security-guide/img-001.png&#34; alt=&#34;&#34;&gt;&lt;/p&gt;&#xA;&lt;p&gt;Руководство &lt;a href=&#34;http://docs.fedoraproject.org/selinux-user-guide/&#34;&gt;Security-Enhanced Linux User Guide&lt;/a&gt;, про которое я писал ранее, уже сменило статус с черновика на готовый документ, а вчера Eric Christensen &lt;a href=&#34;http://fedora-sparks.blogspot.com/2008/12/linux-security-guide.html&#34;&gt;опубликовал&lt;/a&gt; черновой вариант &lt;a href=&#34;https://fedorahosted.org/securityguide/&#34;&gt;Fedora Linux Security Guide&lt;/a&gt; (&lt;a href=&#34;https://bugzilla.redhat.com/show_bug.cgi?id=476471&#34;&gt;Bugzilla Bug&lt;/a&gt;). В целом завершить работу планируется к выходу Fedora 11, а сейчас создатели документа с удовольствием выслушают отклики/исправления/замечания от сообщества пользователей и разработчиков Fedora. HTML-версия документа &lt;a href=&#34;http://sparks.fedorapeople.org/Security_Guide/&#34;&gt;тут&lt;/a&gt;.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Настраиваем TLS/SASL-шифрование и аутентификацию в MTA Sendmail</title>
				<link>https://markelov.dev/posts/tlssasl-mta-sendmail-2/</link>
				<pubDate>Tue, 07 Oct 2008 09:54:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/tlssasl-mta-sendmail-2/</guid>
				<description>&lt;p&gt;При помощи механизма STARTTLS и сертификатов мы попробуем настроить взаимную аутентификацию и шифрование пересылаемой почты между двумя почтовыми серверами с MTA Sendmail. Также при помощи TLS защитим отправляемую клиентами на сервер почту и настроим почтовый релей для пересылки корреспонденции только тех пользователей, которые предъявят сертификат, выданный нашим центром сертификации (CA).&lt;/p&gt;&#xA;&lt;p&gt;STARTTLS (RFC 2487) является расширением протокола SMTP. STARTTLS в первую очередь предназначен для поддержки TLS-шифрования и аутентификации между двумя почтовыми серверами. Но как вы увидите далее, он с успехом может применяться и почтовыми клиентами.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Переход на новые репозитории и ключи для Fedora 8 и Fedora 9</title>
				<link>https://markelov.dev/posts/fedora-8-fedora-9/</link>
				<pubDate>Wed, 10 Sep 2008 14:02:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/fedora-8-fedora-9/</guid>
				<description>&lt;p&gt;После инциндента с компроментацией инфраструктурных серверов Fedora, были заменены ключи, используемые для подписи пакетов, и изменено месторасположение репозиториев с обновлениями. Процедура перехода на новые репозитории максимально упрощена.&lt;/p&gt;&#xA;&lt;p&gt;Сегодня для систем, работающих со старыми репозиториями, стали доступны обновления:&lt;/p&gt;&#xA;&lt;p&gt;[root@f9-server ~]# yum check-update&lt;br&gt;&#xA;Loaded plugins: presto, refresh-packagekit&lt;br&gt;&#xA;PackageKit.i386&lt;/p&gt;&#xA;&lt;p&gt;0.2.5-1.fc9 updates&lt;br&gt;&#xA;PackageKit-libs.i386  0.2.5-1.fc9 updates&lt;br&gt;&#xA;fedora-release.noarch  9-5.transition updates&lt;br&gt;&#xA;gnome-packagekit.i386  0.2.5-2.fc9 updates&lt;br&gt;&#xA;yum-packagekit.i386  0.2.5-1.fc9 updates&lt;/p&gt;&#xA;&lt;p&gt;После установки пакетов утилиты yum, PackageKit и pirut будут видеть новые репозитории и достаточно большое число обновленных пакетов:&lt;/p&gt;</description>
			</item>
			<item>
				<title>Статья &#34;Настройка TLS/SASL-шифрования и аутентификации в MTA Sendmail&#34;</title>
				<link>https://markelov.dev/posts/tlssasl-mta-sendmail/</link>
				<pubDate>Fri, 29 Aug 2008 07:12:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/tlssasl-mta-sendmail/</guid>
				<description>&lt;p&gt;&lt;img src=&#34;https://markelov.dev/posts/tlssasl-mta-sendmail/img-001.gif&#34; alt=&#34;&#34;&gt;&lt;/p&gt;&#xA;&lt;p&gt;В августовском номере журнала «&lt;a href=&#34;http://www.samag.ru/&#34;&gt;Системный администратор»&lt;/a&gt; опубликована моя статья &amp;ldquo;Настройка TLS/SASL-шифрования и аутентификации в MTA Sendmail&amp;rdquo;.&lt;/p&gt;&#xA;&lt;p&gt;&amp;ldquo;При помощи механизма STARTTLS и сертификатов мы попробуем настроить взаимную аутентификацию и шифрование пересылаемой почты между двумя почтовыми серверами с MTA Sendmail. Также при помощи TLS защитим отправляемую клиентами на сервер почту и настроим почтовый релей для пересылки корреспонденции только тех пользователей, которые предъявят сертификат, выданный нашим центром сертификации (CA).&lt;/p&gt;&#xA;&lt;p&gt;STARTTLS (RFC 2487) является расширением протокола SMTP. И в первую очередь предназначен для поддержки TLS-шифрования и аутентификации между двумя почтовыми серверами. Но как мы увидим далее он с успехом может применяться и почтовыми клиентами.&amp;rdquo;&lt;/p&gt;</description>
			</item>
			<item>
				<title>Sectool — утилита аудита безопасности систем основанных на Fedora/RHEL</title>
				<link>https://markelov.dev/posts/sectool-fedorarhel/</link>
				<pubDate>Tue, 05 Aug 2008 14:24:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/sectool-fedorarhel/</guid>
				<description>&lt;p&gt;sectool — &lt;a href=&#34;https://fedorahosted.org/sectool/wiki/WishList&#34;&gt;активно развивающийся&lt;/a&gt; инструмент аудита настроек безопасности и локальная IDS для дистрибутивов, основанных на Fedora. Включает в себя ряд тестов для различных аспектов настройки системы, служб и т.д. В настоящий момент их около тридцати. Тесты независимы от языка программирования (Perl, Python, Bash, &amp;hellip;) и их можно писать самостоятельно (на сайте проекта доступна документация).&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://markelov.dev/posts/sectool-fedorarhel/img-001.png&#34; alt=&#34;&#34;&gt;&lt;/p&gt;&#xA;&lt;p&gt;Имеется как графический, так и интерфейс командной строки. В графике проверка сводится к выбору настраиваемого класса тестов (Базовый, Рабочая станция, Сеть, Сервер, «Параноик») и нажатию кнопки запуска анализа системы. Естественно имеется гибкая система настроек, сравнение результатов проверок, отправка отчетов по электронной почте и т.д.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Kerberized NFSv4 issue in RHEL 5.1</title>
				<link>https://markelov.dev/posts/kerberized-nfsv4-issue-in-rhel-51/</link>
				<pubDate>Tue, 29 Jul 2008 09:16:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/kerberized-nfsv4-issue-in-rhel-51/</guid>
				<description>&lt;p&gt;При настройке NFSv4 в связке с Kerberos на сервере с Red Hat Enterprise Linux 5.1 столкнулся с тем, что в Kerberos был изменен алгоритм по умолчанию с des-cbc-crc на 3des-cbc-hmac. Это конечно здорово, но вот NFSv4 работает только с алгоритмом шифрования des-cbc-crc.&lt;br&gt;&#xA;Соответственно, когда добавляем созданного принципала nfs/stationX.example.com в /etc/krb5.keytab нужно в ktadd указать алгоритм:&lt;/p&gt;&#xA;&lt;p&gt;kadmin: ktadd -e des-cbc-crc:normal -k /etc/krb5.keytab \&lt;br&gt;&#xA;nfs/stationX.example.com&lt;/p&gt;&#xA;&lt;p&gt;В противном случае получаем в /var/log/messages ошибку:&lt;/p&gt;</description>
			</item>
			<item>
				<title>Новая статья в Red Hat Magazine посвященная SELinux</title>
				<link>https://markelov.dev/posts/red-hat-magazine-selinux/</link>
				<pubDate>Thu, 03 Jul 2008 07:55:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/red-hat-magazine-selinux/</guid>
				<description>&lt;p&gt;В Red Hat Magazine вышла новая статья &amp;ldquo;&lt;a href=&#34;http://www.redhatmagazine.com/2008/07/02/writing-policy-for-confined-selinux-users/&#34;&gt;Writing policy for confined SELinuxusers&lt;/a&gt; &amp;ldquo;, написанная Dan Walsh. В ней Dan на примере двух простых задач описывает как при помощи мастера создания модулей политики&lt;br&gt;&#xA;в утилите system-config-selinux можно модифицировать существующий тип пользователя и как добавить новый.&lt;/p&gt;&#xA;&lt;p&gt;В первом примере модифицируется политика для xguest, позволяя этому пользователю не только запускать браузер, но и работать с IM по протоколу&lt;br&gt;&#xA;AIM/AOL. Во втором примере создается новый тип пользователя, которому разрешено пользоваться терминалом, отправлять почту и читать/писать&lt;br&gt;&#xA;в /maildir.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Red Hat Enterprise IPA</title>
				<link>https://markelov.dev/posts/red-hat-enterprise-ipa/</link>
				<pubDate>Thu, 19 Jun 2008 11:30:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/red-hat-enterprise-ipa/</guid>
				<description>&lt;p&gt;Сегодня компания Red Hat &lt;a href=&#34;http://www.press.redhat.com/2008/06/19/introducing-red-hat-enterprise-ipa-10/&#34;&gt;анонсировала&lt;/a&gt; новый продукт под названием Red Hat Enterprise IPA, являющийся решением с открытым исходным кодом для управления доступом и учетными данными. Red Hat Enterprise IPA осуществляет централизованную аутентификацию, управление политиками доступа и аудита для компьютеров, пользователей и сервисов в Unix и Linux-окружениях. В состав решения входят ряд служб, в том числе: LDAP, Kerberos и RADIUS. Помимо этого существуют средства для интеграции с другими сервисами каталогов, включая Active Directory и утилиты для миграции с NIS. Для упрощения работы с Red Hat Enterprise IPA в состав решения входит консоль управления с web-интерфейсом.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Некоторые новшества в Fedora 9 с точки зрения SELinux</title>
				<link>https://markelov.dev/posts/fedora-9-selinux/</link>
				<pubDate>Tue, 17 Jun 2008 12:13:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/fedora-9-selinux/</guid>
				<description>&lt;p&gt;Месяц назад вышла девятая версия Linux-дистрибутива общего назначения Fedora. В этом посте я хотел бы продолжить разговор о системе мандатного контроля доступа SELinux и кратко рассмотреть, что же нового появилось в этой подсистеме c выходом Fedora 9. Для простоты давайте пройдемся по соответствующей секции Release Notes и разберем каждый из пунктов.&lt;/p&gt;&#xA;&lt;p&gt;1) guest_t does not allow running setuid binaries, making network connections, or using a GUI.&lt;/p&gt;&#xA;&lt;p&gt;Собственно, тип guest_t был добавлен еще в Fedora 8. Проведем эксперимент:&lt;/p&gt;</description>
			</item>
			<item>
				<title>Flask in OpenSolaris</title>
				<link>https://markelov.dev/posts/flask-in-opensolaris/</link>
				<pubDate>Mon, 07 Apr 2008 14:40:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/flask-in-opensolaris/</guid>
				<description>&lt;p&gt;На конференции &lt;a href=&#34;http://www.sun.ru/techdays&#34;&gt;Sun Tech Days 2008&lt;/a&gt; удалось немного побеседовать с &lt;a href=&#34;http://blogs.sun.com/gfaden/&#34;&gt;Glenn Faden&lt;/a&gt; касательно будущей реализации Flux Advanced Security Kernel (Flask) в OpenSolaris. По его словам, повторного использования кода/конвертора Reference Policy из SELinux не будет. Язык описания политик также будет свой (из-за несовместимости лицензий). Однако, он будет «очень похож». &lt;a href=&#34;http://opensolaris.org/os/project/fmac/&#34;&gt;Проект&lt;/a&gt; пока находится в начальной стадии. Каких-либо новостей следует ожидать через несколько месяцев.&lt;/p&gt;&#xA;&lt;p&gt;&lt;img src=&#34;https://markelov.dev/posts/flask-in-opensolaris/img-001.jpg&#34; alt=&#34;&#34;&gt;А Питер - отличное место для проведения подобных мероприятий :)&lt;/p&gt;</description>
			</item>
			<item>
				<title>SELinux in news</title>
				<link>https://markelov.dev/posts/selinux-in-news/</link>
				<pubDate>Thu, 20 Mar 2008 20:27:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/selinux-in-news/</guid>
				<description>&lt;p&gt;Ru: Очередная поездка в Фарнборо (на этот раз для &lt;a href=&#34;http://www.redhat.com/training/certification/verify/?rhce_cert_display%3Acertno=804005110317209&amp;amp;rhce_cert_display%3Averify_cb=Verify&#34;&gt;сдачи экзамена EX423&lt;/a&gt; по RHDS), а сразу после этого двухнедельные курсы VMWare, спровоцировали появление 1000+ непрочитанных сообщений в заброшенной RSS-читалке. Разгребая эти залежи, не могу не отметить пару интересных новостей, касающихся SELinux.&lt;/p&gt;&#xA;&lt;p&gt;Во-первых, проект OpenSolaris интегрирует использованную в SELinux схему безопасности Flask/Type Enforcement в свою операционную систему. Называется это дело Flexible Mandatory Access Control (FMAC), и имеет свою &lt;a href=&#34;http://www.opensolaris.org/os/project/fmac/&#34;&gt;страничку на сайте проекта&lt;/a&gt;. Помимо Sun Microsystems, вклад в разработку FMAC вносит и АНБ – «родитель» SELinux. Таким образом, операционных систем, использующих данную модель безопасности, становиться все больше и больше. Не следует забывать и про существующую поддержку Flask/TE на уровне приложений, например СУБД (PostgreSQL) или средств виртуализации (гипервизор Xen).&lt;/p&gt;</description>
			</item>
			<item>
				<title>Basic about SELinux</title>
				<link>https://markelov.dev/posts/basic-about-selinux/</link>
				<pubDate>Sat, 05 Jan 2008 22:34:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/basic-about-selinux/</guid>
				<description>&lt;p&gt;En: Here is selinux(8) man page (from libselinux) translation to Russian with some comments.&lt;/p&gt;&#xA;&lt;p&gt;Ru: Как я и обещал, приступаю к переводам man-страниц, входящих в пакет libselinux. Первая на очереди - selinux(8). Хотя то, что в ней написано, так или иначе уже попадало в этот блог (в частности, пост &lt;a href=&#34;http://markelov.blogspot.com/2007/06/1-selinux.html&#34;&gt;&amp;ldquo;SELinux. Максимальный уровень защиты – бесплатно&amp;rdquo;&lt;/a&gt;), а также обсуждалось в других статьях на русском языке, man selinux:&lt;/p&gt;&#xA;&lt;p&gt;selinux(8) SELinux Command Line documentation selinux(8)&lt;/p&gt;</description>
			</item>
			<item>
				<title>Russian policycoreutils translation</title>
				<link>https://markelov.dev/posts/russian-policycoreutils-translation/</link>
				<pubDate>Fri, 21 Dec 2007 08:12:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/russian-policycoreutils-translation/</guid>
				<description>&lt;p&gt;En: As a selinux-policy, policycoreutils in Fedora 8 now have Russian man pages (since package version 2.0.33-2). Thanks Anton Arapov and Andrew Martynov for corrections! My next goal for translation is libselinux.&lt;/p&gt;&#xA;&lt;p&gt;Ru: Со вчерашнего дня в Fedora 8 доступны переводы справочной документации по пакту policycoreutils:&lt;/p&gt;&#xA;&lt;p&gt;[root@andrey ~]# rpm -ql policycoreutils | grep &amp;ldquo;ru/man&amp;rdquo;&lt;br&gt;&#xA;/usr/share/man/ru/man1&lt;br&gt;&#xA;/usr/share/man/ru/man1/audit2allow.1.gz&lt;br&gt;&#xA;/usr/share/man/ru/man1/secon.1.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8&lt;br&gt;&#xA;/usr/share/man/ru/man8/audit2why.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/chcat.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/fixfiles.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/genhomedircon.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/load_policy.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/open_init_pty.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/restorecon.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/restorecond.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/run_init.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/semanage.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/semodule.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/semodule_deps.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/semodule_expand.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/semodule_link.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/semodule_package.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/sestatus.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/setfiles.8.gz&lt;br&gt;&#xA;/usr/share/man/ru/man8/setsebool.8.gz&lt;/p&gt;</description>
			</item>
			<item>
				<title>Confining Samba with SELinux (in Russian)</title>
				<link>https://markelov.dev/posts/confining-samba-with-selinux-in-russian/</link>
				<pubDate>Tue, 18 Dec 2007 10:04:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/confining-samba-with-selinux-in-russian/</guid>
				<description>&lt;p&gt;En: As Dan Walsh &lt;a href=&#34;http://danwalsh.livejournal.com/14195.html&#34;&gt;wrote&lt;/a&gt; he started updating the man pages for different confined domains. So, I will update Russian version because now in Fedora 8, Russian man pages are still based on old version of man pages.&lt;/p&gt;&#xA;&lt;p&gt;Ru: Страницы руководств по сконфигурированным (для которых существует политика SELinux) доменам не обновлялись с 2005 года. Недавно Dan Walsh начал переписывать ряд руководств, приводя описание к современному состоянию политик. Обновленная страница samba_selinux уже в Fedora 7/8. Перевод же в дистрибутиве пока не доступен (точнее, там мой старый перевод на основе старого же оригинала). Новый:&lt;/p&gt;</description>
			</item>
			<item>
				<title>Руководство по безопасности RHEL5</title>
				<link>https://markelov.dev/posts/rhel5-2/</link>
				<pubDate>Thu, 06 Dec 2007 17:43:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/rhel5-2/</guid>
				<description>&lt;p&gt;На днях NSA (АНБ) опубликовало руководство по настройке безопасной конфигурации RHEL 5 (читай Fedora, Scientific Linux, CentOS, StartCom и т.д.). Руководство в формате PDF доступно &lt;a href=&#34;http://www.nsa.gov/snac/downloads_redhat.cfm?MenuID=scg10.3.1.1&#34;&gt;здесь&lt;/a&gt;. В объеме 170 страниц изложены пошаговые рекомендации, затрагивающие множество вопросов, начиная с защиты системы в целом и заканчивая конкретными службами.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Часть 2.2. SELinux. MLS и MCS: что с чем едят. MCS</title>
				<link>https://markelov.dev/posts/22-selinux-mls-mcs-mcs/</link>
				<pubDate>Tue, 06 Nov 2007 09:11:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/22-selinux-mls-mcs-mcs/</guid>
				<description>&lt;p&gt;Разберемся, что такое MCS и как ограничить пользователям (в том числе и администратору) доступ к информации при помощи категорий SELinux. Продолжаем разговор, начатый постами:&lt;/p&gt;&#xA;&lt;p&gt;&lt;a href=&#34;http://markelov.blogspot.com/2007/06/1-selinux.html&#34;&gt;Часть 1. SELinux. Максимальный уровень защиты – бесплатно.&lt;/a&gt;&lt;br&gt;&#xA;&lt;a href=&#34;http://markelov.blogspot.com/2007/11/21-selinux-mls-mcs-mls.html&#34;&gt;Часть 2.1. SELinux. MLS и MCS: что с чем едят. MLS.&lt;/a&gt;&lt;/p&gt;&#xA;&lt;p&gt;Итак, если воспользоваться преимуществами многоуровневой системы безопасности (multilevel security - MLS) можно только при использовании «строгой» (strict) политики SELinux, то поддержка мульти-категорийной безопасности (MCS) доступна нам в «целевой» (targeted) политике, используемой по умолчанию. В качестве тестовой машины будем использовать RHEL 5.0, но, по большому счету, это не принципиально. Перечисленные базовые вещи должны одинаково работать на всех последних Fedora/RHEL/CentOS/etc, поставляемых с политикой, собранной из Reference Policy. Выполним команду&lt;/p&gt;</description>
			</item>
			<item>
				<title>Часть 2.1. SELinux. MLS и MCS: что с чем едят. MLS.</title>
				<link>https://markelov.dev/posts/21-selinux-mls-mcs-mls/</link>
				<pubDate>Sun, 04 Nov 2007 17:25:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/21-selinux-mls-mcs-mls/</guid>
				<description>&lt;p&gt;Продолжаем разговор, начатый постом «&lt;a href=&#34;http://markelov.blogspot.com/2007/06/1-selinux.html&#34;&gt;Часть 1. SELinux. Максимальный уровень защиты – бесплатно&lt;/a&gt;».&lt;/p&gt;&#xA;&lt;p&gt;Вслед за сообщениями о сертификации Red Hat Enterprise Linux 5 по Common Criteria EAL4+ (c расширениями LSPP, RBACPP и CAPP) на серверах HP и IBM, компания HP &lt;a href=&#34;http://www.linux-watch.com/news/NS4713062466.html&#34;&gt;объявила&lt;/a&gt; о начале предоставления услуги поддержки конфигурации RHEL с включенной многоуровневой системой безопасности (multilevel security -MLS).&lt;/p&gt;&#xA;&lt;p&gt;Что здесь понимается под MLS? MLS – это еще одна форма принудительного контроля доступа (mandatory access control - MAC), доступная нам при использовании SELinux. Политика с поддержкой MLS является опциональной и для большинства пользователей она будет намного менее полезной, чем принудительный контроль на основе Type Enforcement (TE) – основного механизма, используемого в SELinux. Но MLS – это «пропуск» для операционной системы в государственные и военные организации, где без такого рода разграничения полномочий не обойтись.&lt;/p&gt;</description>
			</item>
			<item>
				<title>AppArmor от Novell больше &#34;не от Novell&#34;?</title>
				<link>https://markelov.dev/posts/apparmor-novell-novell/</link>
				<pubDate>Mon, 15 Oct 2007 08:01:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/apparmor-novell-novell/</guid>
				<description>&lt;p&gt;Когда говорят о мандатном контроле доступа (MAC) в Linux, обычно сравнивают Novell AppArmor (система более простая в использовании) и Fedora/RHEL SELinux (система, обеспечивающая более комплексную защиту). Так вот, на днях &lt;a href=&#34;http://www.news.com/8301-13580_3-9796140-39.html&#34;&gt;стало известно&lt;/a&gt;, что Novell уволил лидера проекта AppArmor Crispin Cowan вместе с еще четырьмя разработчиками, работавшими над этим проектом. Cowan, ошеломленный увольнением, не собирается бросать свое детище. Он создал консалтинговую компанию &lt;a href=&#34;http://www.mercenarylinux.com/&#34;&gt;Mercenary Linux&lt;/a&gt;, и, видимо, ждет, когда ее кто-нибудь поглотит: &amp;ldquo;If somebody loves us and one day wants to acquire Mercenary, that&amp;rsquo;s great.&amp;rdquo;&lt;/p&gt;</description>
			</item>
			<item>
				<title>С переводами policycoreutils и selinux-policy закончил :)</title>
				<link>https://markelov.dev/posts/policycoreutils-selinux-policy/</link>
				<pubDate>Wed, 26 Sep 2007 10:59:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/policycoreutils-selinux-policy/</guid>
				<description>&lt;p&gt;Понемногу дело движется&amp;hellip; Закончил переводы man-страниц policycoreutils (20 страниц) и selinux-policy (8 страниц). Соответственно, &lt;a href=&#34;https://bugzilla.redhat.com/show_bug.cgi?id=250741&#34;&gt;bug #250741&lt;/a&gt; и &lt;a href=&#34;https://bugzilla.redhat.com/show_bug.cgi?id=306521&#34;&gt;bug #306521&lt;/a&gt;. Оттуда же можно скачать непосредственно сами переводы в tar.gz. Когда переводы появятся в самом дистрибутиве, как я понимаю, зависит от maintainer&amp;rsquo;а пакетов.&lt;/p&gt;</description>
			</item>
			<item>
				<title>EAL4&#43; для RHEL5: HP не отстает от IBM</title>
				<link>https://markelov.dev/posts/eal4-rhel5-hp-ibm/</link>
				<pubDate>Tue, 17 Jul 2007 07:32:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/eal4-rhel5-hp-ibm/</guid>
				<description>&lt;p&gt;Выбор – это хорошо. &amp;ldquo;Железо&amp;rdquo; от HP, плюс RHEL5 (c включенным &lt;a href=&#34;http://www.nsa.gov/selinux/&#34;&gt;мандатным контролем доступа&lt;/a&gt;) &lt;a href=&#34;http://markelov.blogspot.com/2007/06/1-selinux.html&#34;&gt;вслед за IBM&lt;/a&gt; получило абсолютно такую же &lt;a href=&#34;http://www.niap-ccevs.org/cc-scheme/st/?vid=10165&#34;&gt;сертификацию Common criteria EAL4+&lt;/a&gt; (c расширениями LSPP, RBACPP и CAPP), как и парой недель раньше - сервера &amp;ldquo;голубого гиганта&amp;rdquo;.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Перевод man-страниц  policycoreutils (SELinux)</title>
				<link>https://markelov.dev/posts/man-policycoreutils-selinux/</link>
				<pubDate>Mon, 16 Jul 2007 16:01:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/man-policycoreutils-selinux/</guid>
				<description>&lt;p&gt;&lt;img src=&#34;https://markelov.dev/posts/man-policycoreutils-selinux/img-001.png&#34; alt=&#34;&#34;&gt;&lt;/p&gt;&#xA;&lt;p&gt;Вечера вечером начал перевод man-страниц утилит из пакета &lt;a href=&#34;http://www.nsa.gov/selinux/&#34;&gt;policycoreutils&lt;/a&gt; (основные утилиты для работы с политиками SELinux). Двадцать руководств различного объема планирую закончить через 1-2 недели. В качестве некой основы в переводе терминов я взял .po-файл (который, кстати, &amp;ldquo;вытянут&amp;rdquo; из Fedora) из того же пакета. Однако, в сообщениях, выводимых утилитами, присутствуют не все встречающиеся термины. Поэтому приходиться пытаться подбирать какие-то русские термины.&lt;/p&gt;&#xA;&lt;p&gt;В качестве сервиса для размещения общедоступных черновиков выбрал &lt;a href=&#34;http://selinux.ru.googlepages.com/&#34;&gt;http://selinux.ru.googlepages.com/&lt;/a&gt; - удобная служба от вездесущего Google для быстрого создания маленьких сайтов (до 100М). После перевода всех двадцати руководств, надеюсь, все это будет доступно в составе базового пакета в SELinux-enabled дистрибутивах. В настоящее время информация на страничке активно обновляется – комментарии/замечания/исправления крайне приветствуются.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Часть 1. SELinux. Максимальный уровень защиты – бесплатно</title>
				<link>https://markelov.dev/posts/1-selinux/</link>
				<pubDate>Fri, 29 Jun 2007 11:26:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/1-selinux/</guid>
				<description>&lt;p&gt;Пару недель назад в новостях промелькнуло сообщение о том, что Red Hat Enterprise Linux на серверах IBM получил уровень сертификации по безопасности &lt;a href=&#34;http://www.niap-ccevs.org/cc%2Dscheme/st/?vid=10125&#34;&gt;EAL4 Augmented with ALC_FLR.3&lt;/a&gt;. Это наивысший уровень сертификации, который когда-либо достигался операционной системой. Кроме RHEL5 эта планка достигнута лишь Trusted Solaris. Такой уровень как правило не нужен при внедрениях в коммерческих организациях, но он открыл дорогу для участия в проектах связанных с правительственными и военными организациями США. До этого другие дистрибутивы Linux уже имели подтвержденный уровень доверия EAL4, но без сертификации Labeled Security Protection Profile (LSPP).&lt;/p&gt;</description>
			</item>
			<item>
				<title>Статистика по уязвимостям в RHEL 4  за два года</title>
				<link>https://markelov.dev/posts/rhel-4/</link>
				<pubDate>Thu, 19 Apr 2007 08:54:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/rhel-4/</guid>
				<description>&lt;p&gt;Вчера Марк Кокс (Director of the Red Hat Security Response Team) &lt;a href=&#34;http://www.redhatmagazine.com/2007/04/18/risk-report-two-years-of-red-hat-enterprise-linux-4/&#34;&gt;опубликовал&lt;/a&gt; в Red Hat Magazine статью, посвященную обнаруженным уязвимостям за два года, прошедших с выпуска Red Hat Enterprise Linux. Некоторые выдержки из статьи.&lt;/p&gt;&#xA;&lt;p&gt;За два года во всех пакетах RHEL 4 AS было 5 критических уязвимостей, не связанных с браузером. Из них три связаны с IM. Оставшиеся две – это sendmail и модуль “Апача” mod_auth_pgsql. Обе уязвимости были устранены в течение одного дня. Если выбиралась установка пакетов “по умолчанию”, общее число критических уязвимостей за два года – три штуки. По всем уязвимостям со всеми уровнями критичности процент выпуска “заплатки” в течение дня обнаружения уязвимости – 75%. Сто процентов всех критических уязвимостей устранялось в течении двух календарных дней с момента появления информации об этих уязвимостях в открытых источниках.&lt;/p&gt;</description>
			</item>
			<item>
				<title>Статья про шифрование дисков в Red Hat Magazine</title>
				<link>https://markelov.dev/posts/red-hat-magazine/</link>
				<pubDate>Thu, 25 Jan 2007 13:22:00 +0000</pubDate>
				<guid>https://markelov.dev/posts/red-hat-magazine/</guid>
				<description>&lt;p&gt;В новом году Red Hat Magazine переехал на новый сервер и новую CMS. Однако, из кучи заметок (за исключением новых статей из Knowledgebase), &lt;a href=&#34;http://www.redhatmagazine.com/2007/01/18/disk-encryption-in-fedora-past-present-and-future/&#34;&gt;эта&lt;/a&gt; первая, которая мене показалась интересной. В статье обсуждается прошлое, настоящее и будущее шифрования дисков в Fedora: Cryptsetup, LUKS, шифрование swap-раздела. Также дается ссылка на патч mkinitrd, включающий в образ initrd поддержку шифрованной корневой системы (статья в &lt;a href=&#34;https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=124789&#34;&gt;Bugzilla 124789&lt;/a&gt;). Могу только присоединится к автору статьи в надежде, что вслед за патчем в mkinitrd появиться поддержка шифрования корневой ФС в Anaconda.&lt;/p&gt;</description>
			</item>
	</channel>
</rss>
