LinuxDoc.ru - Новости Linux - CyanogenMod интегрирует поддержку SELinux

CyanogenMod интегрирует поддержку SELinux

LinuxDoc.Ru,
Разработчики проекта CyanogenMod, в рамках которого независимым сообществом развивается альтернативная сборка платформы Android, объявили о проведении работы по интеграции наработок SEAndroid (Security Enhancements for Android) для добавления в развиваемую проектом прошивку средств принудительного контроля доступа SELinux.



SELinux разработан Агентством национальной безопасности США, входит в состав ядра Linux с 2003 года и уже достаточно давно поддерживается в таких дистрибутивах как Fedora, Red Hat Enterprise Linux, Debian, Ubuntu, openSUSE и SUSE Linux Enterprise. Несмотря на спекуляции в прессе о возможных закладках АНБ, SELinux никаким образом не должен восприниматься в контексте программ слежки, подобных PRISM, так как код был многократно проверен и подвергнут независимому аудиту, а также более 10 лет развивается при активном участии сообщества и ведущих Linux-вендоров.

До сих пор средства контроля доступа SELinux не использовались в платформе Android, несмотря на то, что данная технологии изначально поддерживается ядром Linux, лежащим в основе данной мобильной платформы. В рамках проекта SEAndroid c начала 2012 года развивается набор дополнений и правил SELinux, учитывающих особенности архитектуры платформы Android и, в частности, модели запуска приложений и разделения привилегий между ними.

Внедрение SELinux позволит существенно повысить изоляцию системных приложений платформы Android, которым будет предоставлен только доступ к заявленным функциям и данным. Все нештатные операции будут блокироваться, что даст возможность предотвратить несанкционированные действия в случае взлома приложения в результате атаки. При текущей дискретной модели разделения привилегий, взлом системного сервиса, работающего с правами root, открывает для злоумышленника неограниченный доступ к платформе и данным пользователя. Активация SELinux позволит блокировать атаки на системные сервисы.



SELinux для Android отличается адаптацией компонентов пользовательского уровня для работы поверх системной библиотеки Bionic вместо Glibc, интеграцией в систему инициализации Android и сервис запуска новых процессов виртуальной машины, добавлением поддержки меток SELinux для файловой системы yaffs2, набором специфичных правил для системных сервисов Android и популярных сторонних приложений, таких как Skype.

Примечательно, что компания Google также работает над интеграцией правил разделения доступа на основе SELinux в Android, но пока не активирует их в основной платформе. Официальная поддержка SELinux ожидается в выпуске Android 4.3, который по неофициальным данным будет представлен 24 июля. Работа по интеграции SELinux в CyanogenMod ведётся независимо от Google. По умолчанию в прошивках CyanogenMod будет активирован Permissive-режим SELinux, подразумевающий лишь ведение логов аудита, без жесткого блокирования нарушений правил. После того как накопится достаточная статистика о корректности работы сформированных правил, не исключается включение по умолчанию режима "Enforcing".
linux

Новости Linux

. CyanogenMod интегрирует поддержку SELinux CyanogenMod интегрирует поддержку SELinux
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.
>>> Состоялся экспериментальный выпуск открытой реализации Win32 API - Wine 3.12. С момента выпуска версии 3.11 было закрыто 40 отчётов об ошибках и внесено 183 изменения.
>>> Компания Canonical опубликовала новую минималистичную редакцию дистрибутива Minimal Ubuntu, оптимизированную для использование в облачных системах и изолированных контейнерах на базе платформы Docker. При разработке основное внимание уделялось высокой стабильности, максимальной производительности, минимальному времени загрузки и автоматизации применения в облачных системах.
>>> Доступен релиз дистрибутива Scientific Linux 6.10, построенного на пакетной базе Red Hat Enterprise Linux 6.10 и дополненного средствами, ориентированными на использование в научных учреждениях. Дистрибутив поставляется для архитектур i386 и x86_64, для загрузки доступны установочный DVD (4.1 Гб) и сокращённый образ для установки по сети (231 Мб). Из отличий Scientific Linux 6.10 от версии 6.9, не связанных с заимствованием изменений из RHEL, отмечается обновление OpenAFS до версии 1.6.22.3.
>>> Сформирован выпуск музыкального проигрывателя Elisa 0.2, построенного на основе технологий KDE и распространяемого под лицензией LGPLv3. Разработчики приложения пытаются воплотить в жизнь рекомендации по визуальному дизайну мультимедийных проигрывателей, разработанных рабочей группой KDE VDG. При развитии проекта основное внимание уделяется обеспечению стабильности, а уже потом наращиванию функциональности. Бинарные сборки в ближайшее время будут подготовлены для Linux (rpm для Fedora и универсальные пакеты flatpak), macOS и Windows.


Редакция портала:

Добро пожаловать на сайт, посвященный документации к ОС Linux, ее переводу и распространению. Мы надеемся, что Вы найдете тут всю необходимую информацию. Здесь представлены три основных вида документации на русском языке: руководства (man-pages), HOWTO и mini-HOWTO. В скором будущем возможно появление и других видов документации.
Авторские права на представленные документы принадлежат авторам перевода и распространяются в соответствии со Стандартной Общественной Лицензией, если в документе не указано обратное.
Если Вы обнаружите в опубликованных документах ошибки, опечатки, несоответствия и неточности - сообщите о них.