SELinux Հաճախակի տրվող հարցեր (FAQ)

Բարեւ բոլորին! Հատկապես կուրսի ուսանողների համար «Linux Security» Մենք պատրաստել ենք SELinux նախագծի պաշտոնական ՀՏՀ-ի թարգմանությունը: Մեզ թվում է, որ այս թարգմանությունը կարող է օգտակար լինել ոչ միայն ուսանողների համար, ուստի մենք այն կիսում ենք ձեզ հետ:

Մենք փորձել ենք պատասխանել SELinux նախագծի վերաբերյալ ամենահաճախ տրվող հարցերին: Ներկայումս հարցերը բաժանված են երկու հիմնական կատեգորիայի. Բոլոր հարցերն ու պատասխանները տրված են ՀՏՀ էջում.

Վերանայել

Վերանայել

1. Ի՞նչ է անվտանգության ընդլայնված Linux-ը:
   Անվտանգության ընդլայնված Linux-ը (SELinux) Flask անվտանգության ճարտարապետության տեղեկատու ներդրում է՝ ճկուն, հարկադիր մուտքի վերահսկման համար: Այն ստեղծվել է ցույց տալու ճկուն մուտքի վերահսկման մեխանիզմների օգտակարությունը և ինչպես կարելի է նման մեխանիզմներ ավելացնել օպերացիոն համակարգին: Flask-ի ճարտարապետությունը հետագայում ինտեգրվեց Linux-ին և տեղափոխվեց մի քանի այլ համակարգեր, այդ թվում՝ Solaris օպերացիոն համակարգը, FreeBSD օպերացիոն համակարգը և Դարվինի միջուկը՝ առաջացնելով հարակից աշխատանքների լայն շրջանակ: Flask ճարտարապետությունը տրամադրում է ընդհանուր աջակցություն բազմաթիվ տեսակի հարկադիր մուտքի վերահսկման քաղաքականության կիրառման համար, ներառյալ այն, որը հիմնված է Type Enforcement, Role-ի վրա հիմնված մուտքի վերահսկման և Multi-level Security հասկացությունների վրա:
2. Ի՞նչ է ապահովում անվտանգության ուժեղացված Linux-ը, որը չի կարող ստանդարտ Linux-ը:
   Անվտանգությամբ ընդլայնված Linux միջուկը սահմանում է մուտքի վերահսկման հարկադիր քաղաքականություններ, որոնք սահմանափակում են օգտվողների ծրագրերը և համակարգի սերվերները նվազագույն արտոնությունների շարքով, որոնք նրանք պահանջում են իրենց աշխատանքը կատարելու համար: Այս սահմանափակման դեպքում այս օգտատերերի ծրագրերի և համակարգի դևերի կարողությունը վնաս պատճառելու, եթե վտանգի ենթարկվի (օրինակ՝ բուֆերային արտահոսքի կամ սխալ կազմաձևման հետևանքով) կրճատվում կամ վերացվում է: Այս սահմանափակման մեխանիզմը գործում է անկախ ավանդական Linux մուտքի վերահսկման մեխանիզմներից: Այն չունի գերօգտագործողի «արմատ» հասկացությունը և չի կիսում ավանդական Linux անվտանգության մեխանիզմների հայտնի թերությունները (օրինակ՝ կախվածությունը setuid/setgid երկուականներից):
   Չփոփոխված Linux համակարգի անվտանգությունը կախված է միջուկի, բոլոր արտոնյալ հավելվածների և դրանց յուրաքանչյուր կոնֆիգուրացիայի ճշգրտությունից: Այս ոլորտներից որևէ մեկի խնդիրը կարող է հանգեցնել ամբողջ համակարգի վտանգի: Ի հակադրություն, անվտանգության բարելավված Linux միջուկի վրա հիմնված փոփոխված համակարգի անվտանգությունը հիմնականում կախված է միջուկի ճիշտությունից և դրա անվտանգության քաղաքականության կազմաձևից: Թեև հավելվածի ճիշտության կամ կազմաձևման խնդիրները կարող են թույլ տալ սահմանափակ զիջումներ կատարել առանձին օգտվողների ծրագրերի և համակարգի դևերի համար, դրանք անվտանգության վտանգ չեն ներկայացնում օգտատերերի այլ ծրագրերի և համակարգի դևերի կամ ամբողջ համակարգի անվտանգության համար:
3. Ինչի՞ համար է դա լավ։
   Linux-ի նոր գործառույթները՝ բարելավված անվտանգությամբ, նախատեսված են գաղտնիության և ամբողջականության պահանջների հիման վրա տեղեկատվության տարանջատումն ապահովելու համար: Դրանք նախագծված են կանխելու գործընթացներին տվյալների և ծրագրերի ընթերցումը, տվյալների և ծրագրերի կեղծումը, հավելվածների անվտանգության մեխանիզմների շրջանցումը, անվստահելի ծրագրերի իրականացումը կամ այլ գործընթացներին միջամտելը, որոնք խախտում են համակարգի անվտանգության քաղաքականությունը: Նրանք նաև օգնում են սահմանափակել պոտենցիալ վնասը, որը կարող է պատճառվել չարամիտ կամ չարամիտ ծրագրերով: Դրանք նաև պետք է օգտակար լինեն ապահովելու համար, որ տարբեր անվտանգության թույլտվություններ ունեցող օգտվողները կարող են օգտագործել նույն համակարգը՝ մուտք գործելու տարբեր տեսակի տեղեկություններ անվտանգության տարբեր պահանջներով՝ առանց այդ պահանջները խախտելու:
4. Ինչպե՞ս կարող եմ պատճեն ստանալ:
   Linux-ի շատ բաշխումներ ներառում են SELinux-ի աջակցություն՝ ներկառուցված որպես լռելյայն հատկություն կամ որպես ընտրովի փաթեթ: Հիմնական SELinux օգտվողի երկրի կոդը հասանելի է այստեղ GitHub. Վերջնական օգտվողները, ընդհանուր առմամբ, պետք է օգտագործեն իրենց բաշխմամբ տրամադրված փաթեթները:
5. Ի՞նչ է ներառված ձեր թողարկման մեջ:
   NSA SELinux-ի թողարկումը ներառում է հիմնական SELinux օգտվողի երկրի կոդը: SELinux-ի աջակցությունն արդեն ներառված է հիմնական Linux 2.6 միջուկում, որը հասանելի է kernel.org կայքում: SELinux userland-ի հիմնական կոդը բաղկացած է գրադարանից՝ երկուական քաղաքականությունը շահագործելու համար (libsepol), քաղաքականության կազմողից (checkpolicy), անվտանգության հավելվածների գրադարանից (libselinux), քաղաքականության կառավարման գործիքների գրադարանից (libsemanage) և քաղաքականության հետ կապված մի քանի կոմունալ ծառայություններ ( Policycoreutils):
   Ի լրումն SELinux-ով միացված միջուկի և հիմնական օգտվողի երկրի կոդի, ձեզ անհրաժեշտ կլինի քաղաքականություն և SELinux-ով կարկատված օգտվողների տարածքի փաթեթներ SELinux-ից օգտվելու համար: Քաղաքականությունը կարելի է ձեռք բերել SELinux-ի հղման քաղաքականության նախագիծ.
6. Կարո՞ղ եմ տեղադրել Hardened Linux-ը գոյություն ունեցող Linux համակարգի վրա:
   Այո, դուք կարող եք տեղադրել միայն SELinux փոփոխությունները գոյություն ունեցող Linux համակարգում, կամ կարող եք տեղադրել Linux բաշխում, որն արդեն ներառում է SELinux-ի աջակցություն: SELinux-ը բաղկացած է Linux միջուկից՝ SELinux-ի աջակցությամբ, գրադարանների և կոմունալ ծառայությունների հիմնական փաթեթից, որոշ փոփոխված օգտատերերի փաթեթներից և քաղաքականության կազմաձևումից: Այն տեղադրելու համար գոյություն ունեցող Linux համակարգում, որը չունի SELinux-ի աջակցություն, դուք պետք է կարողանաք կազմել ծրագրակազմը և ունենալ նաև այլ պահանջվող համակարգի փաթեթներ: Եթե ​​ձեր Linux բաշխումն արդեն ներառում է SELinux-ի աջակցություն, ապա ձեզ հարկավոր չէ ստեղծել կամ տեղադրել SELinux-ի NSA թողարկումը:
7. Որքանո՞վ է համատեղելի Security Enhanced Linux-ը չփոփոխված Linux-ի հետ:
   Անվտանգության ընդլայնված Linux-ն ապահովում է երկուական համատեղելիություն գոյություն ունեցող Linux հավելվածների և առկա Linux միջուկի մոդուլների հետ, սակայն միջուկի որոշ մոդուլներ կարող են փոփոխության կարիք ունենալ SELinux-ի հետ ճիշտ փոխազդելու համար: Համատեղելիության այս երկու կատեգորիաները մանրամասն քննարկվում են ստորև.
   • Հավելվածի համատեղելիություն
     SELinux-ն ապահովում է երկուական համատեղելիություն գոյություն ունեցող հավելվածների հետ: Մենք ընդլայնել ենք միջուկի տվյալների կառուցվածքները՝ ներառելով անվտանգության նոր ատրիբուտներ և ավելացրել ենք նոր API կանչեր անվտանգության հավելվածների համար: Այնուամենայնիվ, մենք չենք փոխել որևէ հավելվածի համար տեսանելի տվյալների կառուցվածք կամ փոխել առկա համակարգային զանգերի միջերեսը, այնպես որ առկա հավելվածները կարող են աշխատել առանց փոփոխության, եթե անվտանգության քաղաքականությունը թույլ է տալիս դրանք գործարկել:
   • Kernel մոդուլի համատեղելիություն
     Սկզբում SELinux-ը տրամադրում էր բնիկ համատեղելիություն միայն առկա միջուկի մոդուլների համար; անհրաժեշտ էր վերակազմավորել նման մոդուլները միջուկի փոփոխված վերնագրերի վրա՝ միջուկի տվյալների կառուցվածքներին ավելացված անվտանգության նոր դաշտերը հավաքելու համար: Քանի որ LSM-ը և SELinux-ն այժմ ինտեգրված են հիմնական Linux 2.6 միջուկին, SELinux-ն այժմ ապահովում է երկուական համատեղելիություն գոյություն ունեցող միջուկի մոդուլների հետ: Այնուամենայնիվ, միջուկի որոշ մոդուլներ կարող են լավ չհամագործակցել SELinux-ի հետ առանց փոփոխության: Օրինակ, եթե միջուկի մոդուլը ուղղակիորեն հատկացնում և սահմանում է միջուկի օբյեկտ՝ առանց նախնական սկզբնավորման նորմալ գործառույթների օգտագործման, ապա միջուկի օբյեկտը կարող է չունենալ համապատասխան անվտանգության տեղեկատվություն: Որոշ միջուկային մոդուլներ կարող են նաև չունենալ համապատասխան անվտանգության վերահսկում իրենց գործողությունների համար. Միջուկի գործառույթներին կամ թույլտվությունների գործառույթներին ուղղված ցանկացած գոյություն ունեցող զանգ նույնպես կգործարկի SELinux-ի թույլտվության ստուգումները, սակայն MAC-ի քաղաքականությունը կիրառելու համար կարող են պահանջվել ավելի մանրակրկիտ կամ լրացուցիչ հսկողություն:
     Անվտանգությամբ ընդլայնված Linux-ը չպետք է փոխգործունակության խնդիրներ առաջացնի սովորական Linux համակարգերի հետ, քանի դեռ բոլոր անհրաժեշտ գործողությունները թույլատրված են անվտանգության քաղաքականության կազմաձևով:
8. Որո՞նք են անվտանգության քաղաքականության կազմաձևման օրինակի նպատակները:
   Բարձր մակարդակով նպատակն է ցույց տալ հարկադիր մուտքի վերահսկման ճկունությունն ու անվտանգությունը և ապահովել պարզ աշխատանքային համակարգ՝ հավելվածներում նվազագույն փոփոխություններով: Ավելի ցածր մակարդակում քաղաքականությունն ունի մի շարք նպատակներ, որոնք նկարագրված են քաղաքականության փաստաթղթերում: Այս նպատակները ներառում են վերահսկել չմշակված տվյալների հասանելիությունը, պաշտպանել միջուկի ամբողջականությունը, համակարգի ծրագրակազմը, համակարգի կազմաձևման տեղեկատվությունը և համակարգի տեղեկամատյանները, սահմանափակել հնարավոր վնասը, որը կարող է պատճառվել արտոնություններ պահանջող գործընթացում խոցելիության օգտագործման հետևանքով, պաշտպանել արտոնյալ գործընթացները չարամիտ գործադրումից: կոդը՝ պաշտպանելով ադմինիստրատորի դերը և տիրույթը մուտքերից՝ առանց օգտատիրոջ իսկորոշման, կանխելով սովորական օգտատիրոջ գործընթացները համակարգի կամ ադմինիստրատորի գործընթացներին միջամտելուց և պաշտպանելով օգտատերերին և ադմիններին իրենց բրաուզերի խոցելիությունը չարամիտ բջջային կոդի միջոցով օգտագործելուց:
9. Ինչու՞ Linux-ն ընտրվեց որպես հիմնական հարթակ:
   Linux-ն ընտրվել է որպես այս աշխատանքի սկզբնական տեղեկատու իրականացման հարթակ՝ շնորհիվ իր աճող հաջողության և բաց զարգացման միջավայրի: Linux-ը հիանալի հնարավորություն է տալիս ցույց տալու, որ այս ֆունկցիոնալությունը կարող է հաջողակ լինել հյուրընկալող օպերացիոն համակարգում և, միևնույն ժամանակ, նպաստել լայնորեն օգտագործվող համակարգի անվտանգությանը: Linux պլատֆորմը նաև հիանալի հնարավորություն է տալիս այս աշխատանքին հնարավորինս լայն ակնարկ ստանալու համար և կարող է հիմք ծառայել այլ էնտուզիաստների կողմից անվտանգության լրացուցիչ հետազոտությունների համար:
10. Ինչու՞ եք արել այս աշխատանքը:
    Տեղեկատվական անվտանգության ազգային հետազոտական ​​լաբորատորիա Ազգային անվտանգության գործակալությունը պատասխանատու է հետազոտությունների և տեխնոլոգիաների առաջադեմ զարգացման համար, որոնք անհրաժեշտ են NSA-ին հնարավորություն տալ տրամադրել տեղեկատվական անվտանգության լուծումներ, ապրանքներ և ծառայություններ տեղեկատվական ենթակառուցվածքների համար, որոնք կարևոր են ԱՄՆ ազգային անվտանգության շահերի համար:
    Կենսունակ, անվտանգ օպերացիոն համակարգի ստեղծումը մնում է հետազոտության կարևոր մարտահրավեր: Մեր նպատակն է ստեղծել արդյունավետ ճարտարապետություն, որն ապահովում է անհրաժեշտ անվտանգության աջակցությունը, ծրագրերը գործարկում է օգտագործողի համար չափազանց թափանցիկ և գրավիչ վաճառողների համար: Մենք կարծում ենք, որ այս նպատակին հասնելու կարևոր քայլ է ցույց տալ, թե ինչպես հարկադիր մուտքի վերահսկման մեխանիզմները կարող են հաջողությամբ ինտեգրվել հիմքում ընկած օպերացիոն համակարգին:
11. Ինչպե՞ս է դա կապված NSA OS-ի նախորդ հետազոտությունների հետ:
    NSA-ի Ազգային տեղեկատվության ապահովման հետազոտական ​​լաբորատորիայի և Անվտանգ հաշվողական կորպորացիայի (SCC) հետազոտողները մշակել են մուտքի վերահսկման հզոր և ճկուն ճարտարապետություն՝ հիմնված Type Enforcement-ի վրա, որն առաջին անգամ մշակվել է LOCK համակարգի համար: NSA-ն և SCC-ը մշակել են երկու նախատիպ Mach-ի վրա հիմնված ճարտարապետություն՝ DTMach և DTOS (http://www.cs.utah.edu/flux/dtos/) NSA-ն և SCC-ն այնուհետև աշխատեցին Յուտայի ​​համալսարանի Flux հետազոտական ​​խմբի հետ՝ ճարտարապետությունը Fluke հետազոտական ​​օպերացիոն համակարգ տեղափոխելու համար: Այս միգրացիայի ընթացքում ճարտարապետությունը կատարելագործվեց՝ ավելի լավ աջակցելու դինամիկ անվտանգության քաղաքականությանը: Այս բարելավված ճարտարապետությունը կոչվում էր Flask (http://www.cs.utah.edu/flux/flask/) Այժմ NSA-ն ինտեգրել է Flask ճարտարապետությունը Linux օպերացիոն համակարգում՝ տեխնոլոգիան ծրագրավորողների և օգտատերերի ավելի լայն համայնքին հասցնելու համար:
12. Անվտանգությամբ ընդլայնված Linux-ը հուսալի օպերացիոն համակարգ է:
    «Վստահելի օպերացիոն համակարգ» արտահայտությունը սովորաբար վերաբերում է օպերացիոն համակարգին, որը բավականաչափ աջակցություն է տրամադրում անվտանգության բազմաթիվ շերտերի և հայեցակարգի ապացուցման համար՝ բավարարելու կառավարության որոշակի պահանջները: Անվտանգության ընդլայնված Linux-ը ներառում է օգտակար գաղափարներ այս համակարգերից, բայց կենտրոնանում է մուտքի վերահսկման վրա: Անվտանգության ընդլայնված Linux-ի ստեղծման սկզբնական նպատակն էր ստեղծել օգտակար ֆունկցիոնալություն, որն ապահովում է անվտանգության շոշափելի առավելություններ իրական աշխարհի միջավայրերի լայն շրջանակում՝ տեխնոլոգիան ցուցադրելու համար: SELinux-ն ինքնին վստահելի օպերացիոն համակարգ չէ, սակայն այն ապահովում է անվտանգության կարևոր հատկանիշ՝ հարկադիր մուտքի վերահսկում, որն անհրաժեշտ է վստահելի օպերացիոն համակարգին: SELinux-ը ինտեգրվել է Linux բաշխումներին, որոնք գնահատվել են ըստ պիտակավորված անվտանգության պաշտպանության պրոֆիլի: Փորձարկված և ստուգված ապրանքների մասին տեղեկատվությունը կարող եք գտնել այստեղ http://niap-ccevs.org/.
13. Արդյո՞ք նա իսկապես պաշտպանված է:
    Անվտանգ համակարգի հայեցակարգը ներառում է բազմաթիվ ատրիբուտներ (օրինակ՝ ֆիզիկական անվտանգություն, անձնակազմի անվտանգություն և այլն), իսկ ուժեղացված անվտանգության Linux-ը հասցեագրում է այդ ատրիբուտների միայն շատ նեղ շարքը (այսինքն՝ օպերացիոն համակարգում հարկադիր մուտքի վերահսկումը): . Այլ կերպ ասած, «անվտանգ համակարգ» նշանակում է բավականաչափ ապահով՝ իրական աշխարհում որոշ տեղեկություններ պաշտպանելու իրական հակառակորդից, որի դեմ զգուշացված է տեղեկատվության սեփականատերը և/կամ օգտագործողը: Անվտանգության ընդլայնված Linux-ը նախատեսված է միայն ժամանակակից օպերացիոն համակարգում պահանջվող վերահսկման ցուցադրման համար, և, հետևաբար, դժվար թե ինքնուրույն համապատասխանի անվտանգ համակարգի որևէ հետաքրքիր սահմանմանը: Մենք հավատում ենք, որ անվտանգության ընդլայնված Linux-ում ցուցադրված տեխնոլոգիան օգտակար կլինի այն մարդկանց համար, ովքեր կառուցում են անվտանգ համակարգեր:
14. Ի՞նչ եք արել երաշխիքը բարելավելու համար:
    Այս նախագծի նպատակն էր Linux-ում նվազագույն փոփոխություններով կիրառման վերահսկում ավելացնելը: Այս վերջին նպատակը մեծապես սահմանափակում է այն, ինչ կարելի է անել՝ երաշխիքը բարելավելու համար, հետևաբար, Linux-ի երաշխիքի բարելավմանն ուղղված աշխատանք չի եղել: Մյուս կողմից, բարելավումները հիմնված են անվտանգության բարձր հուսալիության ճարտարապետության նախագծման վերաբերյալ նախորդ աշխատանքի վրա, և այս նախագծման սկզբունքների մեծ մասը փոխանցվում է Linux-ին՝ բարելավված անվտանգությամբ:
15. Արդյո՞ք CCEVS-ը կգնահատի Linux-ը ուժեղացված անվտանգությամբ:
    Անվտանգության ընդլայնված Linux-ն ինքնին նախատեսված չէ անվտանգության պրոֆիլի կողմից ներկայացված անվտանգության խնդիրների ամբողջական փաթեթը լուծելու համար: Թեև հնարավոր կլիներ գնահատել միայն դրա ներկայիս ֆունկցիոնալությունը, մենք կարծում ենք, որ նման գնահատումը սահմանափակ արժեք կունենա: Այնուամենայնիվ, մենք աշխատել ենք ուրիշների հետ՝ ներառելու այս տեխնոլոգիան Linux բաշխումների մեջ, որոնք գնահատվել են և բաշխումները, որոնք գտնվում են գնահատման փուլում: Փորձարկված և ստուգված ապրանքների մասին տեղեկատվությունը կարող եք գտնել այստեղ http://niap-ccevs.org/.
16. Փորձե՞լ եք շտկել որևէ խոցելիություն:
    Ոչ, մենք մեր աշխատանքի ընթացքում խոցելի տեղեր չենք փնտրել և չենք գտել։ Մենք արել ենք միայն նվազագույնը մեր նոր մեխանիզմներն ավելացնելու համար։
17. Արդյո՞ք այս համակարգը հաստատված է պետական ​​օգտագործման համար:
    Անվտանգությամբ ընդլայնված Linux-ը չունի հատուկ կամ լրացուցիչ հաստատում կառավարության օգտագործման համար Linux-ի որևէ այլ տարբերակի նկատմամբ: Անվտանգությամբ ընդլայնված Linux-ը չունի հատուկ կամ լրացուցիչ հաստատում կառավարության օգտագործման համար Linux-ի որևէ այլ տարբերակի նկատմամբ:
18. Ինչո՞վ է սա տարբերվում այլ նախաձեռնություններից:
    Անվտանգության ընդլայնված Linux-ն ունի հստակ սահմանված ճարտարապետություն՝ մուտքի հսկողության ճկուն կիրառման համար, որը փորձնականորեն վավերացվել է մի քանի նախատիպ համակարգերի միջոցով (DTMach, DTOS, Flask): Մանրամասն ուսումնասիրություններ են կատարվել ճարտարապետության ունակության վերաբերյալ՝ աջակցելու անվտանգության քաղաքականության լայն շրջանակին և հասանելի են Հայաստանում http://www.cs.utah.edu/flux/dtos/ и http://www.cs.utah.edu/flux/flask/.
    Ճարտարապետությունն ապահովում է մանրահատիկ վերահսկողություն բազմաթիվ միջուկների աբստրակցիաների և ծառայությունների վրա, որոնք չեն վերահսկվում այլ համակարգերի կողմից: Ընդլայնված անվտանգությամբ Linux համակարգի որոշ տարբերակիչ առանձնահատկություններից են.
    • Քաղաքականության մաքուր տարանջատում դիմումի իրավունքներից
    • Լավ սահմանված քաղաքականության միջերեսներ
    • Անկախություն կոնկրետ քաղաքականություններից և քաղաքականության լեզուներից
    • Անվտանգության հատուկ պիտակների ձևաչափերի և բովանդակության անկախություն
    • Առանձին պիտակներ և հսկիչներ միջուկի օբյեկտների և ծառայությունների համար
    • Արդյունավետության համար մուտքի որոշումների քեշավորում
    • Աջակցություն քաղաքականության փոփոխություններին
    • Գործընթացի սկզբնավորման և ծրագրի ժառանգման և կատարման վերահսկում
    • Կառավարեք ֆայլային համակարգերը, գրացուցակները, ֆայլերը և բաց ֆայլերի նկարագրությունները
    • Կառավարեք վարդակներ, հաղորդագրություններ և ցանցային միջերեսներ
    • «Հնարավորությունների» օգտագործման նկատմամբ վերահսկողություն.
19. Որո՞նք են այս համակարգի լիցենզավորման սահմանափակումները:
    Կայքում հայտնաբերված բոլոր կոդերը https://www.nsa.gov, բաշխված նույն պայմաններով, ինչ սկզբնական կոդը: Օրինակ, Linux-ի միջուկի և շատ առկա կոմունալ ծառայությունների համար նախատեսված պատչերը թողարկվում են հետևյալ պայմաններով. GNU Ընդհանուր հանրային լիցենզիա (GPL).
20. Կա՞ն արտահանման վերահսկողություն:
    Ընդլայնված անվտանգությամբ Linux-ը չունի լրացուցիչ արտահանման հսկողություն՝ համեմատած Linux-ի ցանկացած այլ տարբերակի հետ:
21. Արդյո՞ք NSA-ն նախատեսում է օգտագործել այն ներքին տարածքում:
    Հասկանալի պատճառներով NSA-ն չի մեկնաբանում օպերատիվ օգտագործման մասին:
22. Արդյո՞ք 26 թվականի հուլիսի 2002-ի Secure Computing Corporation-ի հավաստիացման հայտարարությունը փոխում է NSA-ի դիրքորոշումն առ այն, որ SELinux-ը տրամադրվել է GNU Ընդհանուր հանրային լիցենզիայի ներքո:
    ԱԱԾ-ի դիրքորոշումը չի փոխվել. NSA-ն շարունակում է հավատալ, որ GNU Ընդհանուր հանրային լիցենզիայի պայմաններն ու պայմանները կարգավորում են SELinux-ի օգտագործումը, պատճենումը, տարածումը և փոփոխումը: Սմ. NSA-ի մամուլի հաղորդագրություն, հունվարի 2, 2001 թ.
23. Արդյո՞ք NSA-ն աջակցում է բաց կոդով ծրագրակազմին:
    NSA-ի ծրագրային ապահովման անվտանգության նախաձեռնությունները ներառում են ինչպես սեփական, այնպես էլ բաց կոդով ծրագրակազմ, և մենք հաջողությամբ օգտագործել ենք ինչպես սեփական, այնպես էլ բաց կոդով մոդելները մեր հետազոտական ​​գործունեության մեջ: Ծրագրային ապահովման անվտանգության բարելավմանն ուղղված NSA-ի աշխատանքը պայմանավորված է մեկ պարզ նկատառումով. օգտագործել մեր ռեսուրսները՝ NSA հաճախորդներին ապահովելու լավագույն հնարավոր անվտանգության տարբերակներն իրենց ամենաշատ օգտագործվող արտադրանքներում: NSA հետազոտական ​​ծրագրի նպատակն է զարգացնել տեխնոլոգիական առաջընթացները, որոնք կարող են կիսվել ծրագրային ապահովման մշակման համայնքի հետ տարբեր առաքման մեխանիզմների միջոցով: NSA-ն չի աջակցում կամ խթանում որևէ կոնկրետ ծրագրային արտադրանք կամ բիզնես մոդել: Ավելի շուտ, NSA-ն նպաստում է անվտանգությանը:
24. Արդյո՞ք NSA-ն աջակցում է Linux-ին:
    Ինչպես նշվեց վերևում, NSA-ն չի հաստատում կամ գովազդում որևէ հատուկ ծրագրային արտադրանք կամ հարթակ. NSA-ն միայն օգնում է բարելավել անվտանգությունը: SELinux-ի հղման իրականացման մեջ ցուցադրված Flask ճարտարապետությունը տեղափոխվել է մի քանի այլ օպերացիոն համակարգեր, ներառյալ Solaris, FreeBSD և Darwin, տեղափոխված Xen հիպերվիզորում և կիրառվել այնպիսի ծրագրերի համար, ինչպիսիք են X Window System, GConf, D-BUS և PostgreSQL. Flask ճարտարապետության գաղափարները լայնորեն կիրառելի են համակարգերի և միջավայրերի լայն շրջանակի համար:

Համագործակցություն

1. Ինչպե՞ս ենք մենք նախատեսում համագործակցել Linux համայնքի հետ:
   Մենք ունենք վեբ էջերի հավաքածու NSA.gov-ում, որը կծառայի որպես Linux-ի մասին տեղեկատվության հրապարակման մեր հիմնական միջոցը՝ բարելավված անվտանգությամբ: Եթե ​​դուք հետաքրքրված եք անվտանգության ընդլայնված Linux-ով, խորհուրդ ենք տալիս միանալ մշակողների փոստային ցուցակին, վերանայել աղբյուրի կոդը և տրամադրել ձեր կարծիքը (կամ կոդը): Մշակողների փոստային ցուցակին միանալու համար տե՛ս SELinux մշակողների փոստային ցուցակի էջ.
2. Ո՞վ կարող է օգնել:
   SELinux-ն այժմ աջակցվում և մշակվում է բաց կոդով Linux ծրագրային համայնքի կողմից:
3. Արդյո՞ք NSA-ն ֆինանսավորում է որևէ հետագա աշխատանք:
   NSA-ն ներկայումս չի դիտարկում հետագա աշխատանքի առաջարկները:
4. Ինչ տեսակի աջակցություն է հասանելի:
   Մենք մտադիր ենք հարցերը լուծել փոստային ցուցակի միջոցով [էլեկտրոնային փոստով պաշտպանված], բայց մենք կարող ենք չկարողանալ պատասխանել կոնկրետ կայքի հետ կապված բոլոր հարցերին:
5. Ո՞վ օգնեց. Ի՞նչ արեցին։
   Անվտանգությամբ ուժեղացված Linux-ի նախատիպը մշակվել է NSA-ի կողմից հետազոտական ​​գործընկերների՝ NAI Labs-ի, Secure Computing Corporation-ի (SCC) և MITER Corporation-ի հետ: Նախնական հրապարակումից հետո հաջորդեցին բազմաթիվ այլ նյութեր։ Տես մասնակիցների ցանկը.
6. Ինչպե՞ս կարող եմ ավելին իմանալ:
   Մենք խրախուսում ենք ձեզ այցելել մեր վեբ էջերը, կարդալ փաստաթղթերը և անցյալ հետազոտական ​​աշխատանքները և մասնակցել մեր փոստային ցուցակին [էլեկտրոնային փոստով պաշտպանված]

Թարգմանությունն օգտակար համարու՞մ եք: Գրեք մեկնաբանություններ!

Source: www.habr.com