SPECS: apache-mod_apparmor.spec (NEW) - new

[Zbyniu Krzystolik]

Mniej wiecej Mon, Dec 11, 2006 at 01:17:53AM +0100, zainteresowany Arkadiusz Miskiewicz rzekl:
> On Monday 11 December 2006 00:55, Zbyniu Krzystolik wrote:
> 
> > > > > mod_php i mod_perl dostarcza skrypty cgi?
> > >
> > > Oczywiście chodziło mi tu o obsługę.
> > >
> > > > Nie, ale obsługują (handle).
> > >
> > > W jaki sposób mod_php obsługuje skrypty cgi?
> >
> > Przecież pliki php, które są serwowane to de facto skrypty cgi
> Otóż nie, CGI to ustalony interfejs przekazywania danych między serwerem www, 
> a skryptem i nie ma to nic wspólnego z modułami so ładowanymi do serwera, 
> które sobie potem interpretują inne pliki.
> 
> > - muszą 
> > być tylko odpowiednio interpretowane. Niezależnie od tego czy to
> > /usr/bin/php i mod_cgi, czy mod_php.
> >
> > Oczywiście nie ma sensu robić wielkiego flame'a o 4 literki, jeśli Ci
> > przeszkadzają, to usuń je. :)
> Nie chodzi o flame tylko o to czy mod_apparmor można używać w jakiś fajny 
> sposób (np. różne konteksty dla różnych virtualek) ? Normalnie tak się daje 
> robić (via selinuxa) tylko dla skryptów CGI, dla shared .so się nie da (a 
> wynika to ze sposóbu działania selinuxa).

Właśnie cała radość w tym, że tak. I pewnie dlatego tak ktoś ujął ten
opis. :)
Można definiować profile (konteksty wykonania) per Directory, Location,
Vhost, łącznie z obsługą mod_php. Jeszcze nie odpalałem, jutro od rana
będę to dręczył.

Zestaw do samodzielnego montażu:
ftp://ftp.iapt.pl/wypieki/  (pndir)
- jądro kernel-grsecurity-*2.6.16.34-1 to pldowe + apparmor. Musi być
  append="capability.disable=1", bo to cholerny LSM.
- *apparmor*

Poza tym ficzerem apparmor jest podzbiorem RBAC z grsecurity.

Używasz selinuksa z pld? produkcyjnie?

Zbyniu
-- 
%% Absolutely nothing we trust %%