| PostgreSQL: kèo chấp bóng đá | |||
|---|---|---|---|
| prev | UP | Phụ lục F. kèo bóng đá c1 mô -đun được cung cấp bổ sung | Tiếp theo |
kèo bóng đá c1là một mô-đun có thể tải hỗ trợ điều khiển truy cập bắt buộc dựa trên nhãn (MAC) dựa trênSelinuxChính sách bảo mật.
| Cảnh báo |
|
Việc triển khai hiện tại có những hạn chế đáng kể và không thực thi kiểm soát truy cập bắt buộc cho tất cả kèo bóng đá c1 hành động. Nhìn thấyPhần F.34.7. |
Mô -đun này tích hợp vớiSelinuxĐể cung cấp thêm một lớp kèo bóng đá c1 bảo mật ở trên và ngoài những gì thường được cung cấp bởiPostgreSQL. Từ quan điểm củaSelinux, Mô -đun này cho phépPostgreSQL95PostgreSQL: Tài liệu: 9.4: SEPGSQL74PostgreSQL.
SelinuxQuyết định kiểm soát truy cập được thực hiện bằng cách sử dụng kèo bóng đá c1 nhãn bảo mật, được biểu thị bằng kèo bóng đá c1 chuỗi nhưSystem_u: Object_R: sepgsql_table_t: S0. Mỗi quyết định kiểm soát truy cập liên quan đến hai nhãn: nhãn của đối tượng cố gắng thực hiện hành động và nhãn của đối tượng mà hoạt động sẽ được thực hiện. Vì kèo bóng đá c1 nhãn này có thể được áp dụng cho bất kỳ loại đối tượng nào, kèo bóng đá c1 quyết định kiểm soát truy cập cho kèo bóng đá c1 đối tượng được lưu trữ trong cơ sở dữ liệu có thể (và, với mô -đun này, là) phải tuân theo cùng một tiêu chí chung được sử dụng cho kèo bóng đá c1 đối tượng thuộc bất kỳ loại nào khác, chẳng hạn như kèo bóng đá c1 tệp. Thiết kế này nhằm cho phép chính sách bảo mật tập trung bảo vệ tài sản thông tin độc lập với kèo bóng đá c1 chi tiết về cách lưu trữ kèo bóng đá c1 tài sản đó.
ThePostgreSQL: Tài10672_10744
kèo bóng đá c1Chỉ có thể được sử dụng trênLinux2.6.28 trở lên vớiSelinuxĐã bật. Nó không có sẵn trên bất kỳ nền tảng nào khác. Bạn cũng sẽ cầnlibselinux2.1.10 trở lên vàSelinux-Policy3.9.13 trở lên (mặc dù một số phân phối có thể đặt lại kèo bóng đá c1 quy tắc cần thiết vào kèo bóng đá c1 phiên bản chính sách cũ hơn).
ThesestatusLệnh cho phép bạn kèo bóng đá c1 trạng thái củaSelinux. Một màn hình điển hình là:
$ sestatus Trạng thái Selinux: Đã bật Selinuxfs gắn kết: /selinux Chế độ hiện tại: Thực thi Chế độ từ tệp cấu hình: Thực thi Phiên bản chính sách: 24 Chính sách từ tệp cấu hình: được nhắm mục tiêu
nếuSelinuxbị vô hiệu hóa hoặc chưa được cài đặt, bạn phải đặt sản phẩm đó lên trước khi cài đặt mô -đun này.
Để xây dựng mô -đun này, bao gồm tùy chọn--with-selinuxTrong PostgreSQL của bạnCấu hìnhlệnh. Hãy chắc chắn rằnglibselinux-develRPM được cài đặt tại thời điểm xây dựng.
Để sử dụng mô -đun này, bạn phải bao gồmkèo bóng đá c1trongshared_preload_l Libriestham số trongPostgreSql.conf. Mô -đun sẽ không hoạt động chính xác nếu được tải theo bất kỳ cách nào khác. Khi mô -đun được tải, bạn nên thực thikèo bóng đá c1sqlTrong mỗi cơ sở dữ liệu. Điều này sẽ cài đặt kèo bóng đá c1 chức năng cần thiết để quản lý nhãn bảo mật và gán nhãn bảo mật ban đầu.
Đây là một ví dụ cho thấy cách khởi tạo cụm cơ sở dữ liệu mới vớikèo bóng đá c1kèo bóng đá c1 chức năng và nhãn bảo mật được cài đặt. Điều chỉnh kèo bóng đá c1 đường dẫn hiển thị khi thích hợp cho cài đặt của bạn:
$ xuất pgdata =/path/to/data/thư mục
$ initDB
$ VI $ pgdata/postgresql.conf
thay đổi
#shared_preload_l Libres = '' # (thay đổi yêu cầu khởi động lại)
ĐẾN
Shared_Preload_L Libries = 'kèo bóng đá c1' # (thay đổi yêu cầu khởi động lại)
$ cho dbname trong template0 template1 postgres; LÀM
postgres - -single -f -c exit_on_error = true $ dbname \
</usr/local/pgsql/share/contrib/kèo bóng đá c1sql/dev/null
xong
Xin lưu ý rằng bạn có thể thấy một số hoặc tất cả kèo bóng đá c1 thông báo sau tùy thuộc vào kèo bóng đá c1 phiên bản cụ thể mà bạn có củaLibselinuxvàSelinux-Policy:
/etc /etc /etc /etc/selinux/targeted/bối cảnh/sepgsql_contexts: dòng 38 có loại đối tượng không hợp lệ db_langage /etc /etc/selinux/targeted/bối cảnh/sepgsql_contexts: dòng 40 có loại đối tượng không hợp lệ db_langage
Những tin nhắn này vô hại và nên bị bỏ qua.
Nếu quá trình cài đặt hoàn thành mà không có lỗi, bây giờ bạn có thể khởi động máy chủ bình thường.
Do bản chất củaSelinux, Chạy kèo bóng đá c1 bài kiểm tra hồi quy chokèo bóng đá c1Yêu cầu một số bước cấu hình bổ sung, một số trong đó phải được thực hiện dưới dạng gốc. kèo bóng đá c1 bài kiểm tra hồi quy sẽ không được chạy bởi một thông thườngLàm cho kèo bóng đá c1hoặcTạo cài đặtlệnh; Bạn phải thiết lập cấu hình và sau đó gọi tập lệnh kiểm tra theo cách thủ công. kèo bóng đá c1 bài kiểm tra phải được chạy trongPRINT/kèo bóng đá c1Thư mục của cây xây dựng PostgreSQL được cấu hình. Mặc dù chúng yêu cầu một cây xây dựng, kèo bóng đá c1 thử nghiệm được thiết kế để thực hiện đối với máy chủ được cài đặt, đó là chúng có thể so sánh vớiTạo InstallcheckkhôngLàm cho kèo bóng đá c1.
Đầu tiên, thiết lậpkèo bóng đá c1Trong cơ sở dữ liệu làm việc theo hướng dẫn trongPhần F.34.2. Lưu ý rằng người dùng hệ điều hành hiện tại phải có thể kết nối với cơ sở dữ liệu dưới dạng Superuser mà không cần xác thực mật khẩu.
Thứ hai, xây dựng và cài đặt gói chính sách cho thử nghiệm hồi quy. Thekèo bóng đá c1-regtest15631_15797kèo bóng đá c1-regtest.te, được thực hiện bằng cách sử dụnglàmVới một makefile được cung cấp bởi Selinux. Bạn sẽ cần phải xác định vị trí makefile thích hợp trên hệ thống của bạn; Đường dẫn hiển thị dưới đây chỉ là một ví dụ. Sau khi được xây dựng, cài đặt gói chính sách này bằngsemoduleLệnh, tải kèo bóng đá c1 gói chính sách được cung cấp vào kernel. Nếu gói được cài đặt chính xác,semodule-Lnên liệt kêkèo bóng đá c1-regtestLà một gói chính sách có sẵn:
$ cd .../prong/kèo bóng đá c1 $ make -f/usr/share/selinux/devel/makefile $ sudo semodule -u kèo bóng đá c1 -regtest.pp $ sudo semodule -L | GREP kèo bóng đá c1 kèo bóng đá c1-regtest 1.07
thứ ba, bậtsepgsql_regression_test_mode16630_16669kèo bóng đá c1-regtestkhông được bật theo mặc định; Thesepgsql_regression_test_modeTham số cho phép kèo bóng đá c1 quy tắc cần thiết để khởi chạy kèo bóng đá c1 bài kiểm tra hồi quy. Nó có thể được bật bằng cách sử dụngSetseboollệnh:
$ sudo setsebool sepgsql_regression_test_mode trên $ getsebool sepgsql_regression_test_mode sepgsql_regression_test_mode - trên
Thứ tư, xác minh vỏ của bạn đang hoạt động trongUnconfined_tmiền:
$ id -z Unconfined_u: Unconed_r: Unconed_t: S0-S0: C0.C1023
xemPhần F.34.8Để biết chi tiết về việc điều chỉnh miền làm việc của bạn, nếu cần thiết.
Cuối cùng, chạy tập lệnh kèo bóng đá c1 hồi quy:
$ ./test_sepgsql
17507_17652kèo bóng đá c1Mô -đun.
Sau khi hoàn thành kèo bóng đá c1 bài kiểm tra, bạn khuyên bạn nên vô hiệu hóasepgsql_regression_test_modetham số:
$ sudo setsebool sepgsql_regression_test_mode tắt
Bạn có thể thích xóakèo bóng đá c1-regtestChính sách hoàn toàn:
$ sudo semodule -r kèo bóng đá c1 -regtest
Tham số này cho phépkèo bóng đá c118438_18565PostgreSql.confTệp hoặc trên dòng lệnh máy chủ.
Khi tham số này,kèo bóng đá c1kèo bóng đá c1 chức năng ở chế độ cho phép, ngay cả khi Selinux nói chung đang làm việc trong chế độ thực thi. Tham số này chủ yếu hữu ích cho mục đích thử nghiệm.
Tham số này cho phép in kèo bóng đá c1 tin nhắn kiểm toán bất kể cài đặt chính sách hệ thống. Mặc định tắt, có nghĩa là kèo bóng đá c1 tin nhắn sẽ được in theo cài đặt hệ thống.
Chính sách bảo mật củaSelinuxCũng có kèo bóng đá c1 quy tắc để kiểm soát xem kèo bóng đá c1 truy cập cụ thể có được ghi lại hay không. Theo mặc định, vi phạm truy cập được ghi lại, nhưng không được phép truy cập.
Tham số này buộc tất cả có thể đăng nhập được bật, bất kể chính sách hệ thống.
Mô hình bảo mật củaSelinuxMô tả tất cả kèo bóng đá c1 quy tắc kiểm soát truy cập là mối quan hệ giữa một thực thể chủ thể (thông thường là máy khách của cơ sở dữ liệu) và một thực thể đối tượng (như đối tượng cơ sở dữ liệu), mỗi đối tượng được xác định bởi nhãn bảo mật. Nếu quyền truy cập vào một đối tượng không được dán nhãn, đối tượng được xử lý như thể nó được gán nhãnUnlabeled_t.
Hiện tại,kèo bóng đá c1Cho phép kèo bóng đá c1 nhãn bảo mật được gán cho kèo bóng đá c1 lược đồ, bảng, cột, trình tự, chế độ xem và chức năng. Khikèo bóng đá c120407_20756
20762_21146
cho kèo bóng đá c1 bảng,db_table: select, db_table: chèn, DB_TABLE: Cập nhậthoặcdb_table: xóađược kiểm tra tất cả kèo bóng đá c1 bảng mục tiêu được tham chiếu tùy thuộc vào loại câu lệnh; Ngoài ra,db_table: selectcũng được kiểm tra tất cả kèo bóng đá c1 bảng có chứa kèo bóng đá c1 cột được tham chiếu trongWHEREhoặcTrở vềmệnh đề, như một nguồn dữ liệu choCập nhật, v.v.
21810_21886db_column: chọnđược kiểm tra trên không chỉ kèo bóng đá c1 cột được đọc bằngChọn, nhưng những người được tham chiếu trong kèo bóng đá c1 câu lệnh DML khác;DB_Column: Cập nhậthoặcdb_column: chèncũng sẽ được kiểm tra kèo bóng đá c1 cột được sửa đổi bởiCập nhậthoặcChèn.
Ví dụ: xem xét:
Cập nhật T1 Set x = 2, y = md5sum (y) trong đó z = 100;
ở đây,DB_Column: Cập nhậtsẽ được kèo bóng đá c1T1.x, vì nó đang được cập nhật,db_column: chọn cập nhậtsẽ được kèo bóng đá c1T1.Y, vì nó vừa được cập nhật và tham chiếu, vàdb_column: chọnSẽ được kèo bóng đá c1T1.Z, vì nó chỉ được tham chiếu.db_table: chọn cập nhậtcũng sẽ được kèo bóng đá c1 ở cấp độ bảng.
cho kèo bóng đá c1 chuỗi,DB_Sequence: get_valueđược kèo bóng đá c1 khi chúng tôi tham chiếu một đối tượng chuỗi bằng cách sử dụngChọn; Tuy nhiên, lưu ý rằng chúng tôi hiện không kiểm tra quyền khi thực hiện kèo bóng đá c1 chức năng tương ứng như23150_23161.
để xem,db_view: mở rộngSẽ được kiểm tra, sau đó mọi quyền bắt buộc khác sẽ được kiểm tra trên kèo bóng đá c1 đối tượng được mở rộng từ chế độ xem, riêng lẻ.
cho kèo bóng đá c1 chức năng,23394_23418Sẽ được kèo bóng đá c1 khi người dùng cố gắng thực thi chức năng như một phần của truy vấn hoặc sử dụng lời mời đường dẫn nhanh. Nếu chức năng này là một thủ tục đáng tin cậy, nó cũng kèo bóng đá c1DB_Procedure: EntryPointQuyền kèo bóng đá c1 xem nó có thể thực hiện dưới dạng điểm nhập của thủ tục đáng tin cậy không.
Để truy cập bất kỳ đối tượng lược đồ nào,db_schema: tìm kiếmQuyền được yêu cầu trên lược đồ chứa. Khi một đối tượng được tham chiếu mà không có trình độ lược đồ, kèo bóng đá c1 lược đồ mà quyền này không có mặt sẽ không được tìm kiếm (như thể người dùng không cósử dụngĐặc quyền trên lược đồ). Nếu có trình độ lược đồ rõ ràng có mặt, sẽ xảy ra lỗi nếu người dùng không có quyền cần thiết trên lược đồ có tên.
Khách hàng phải được phép truy cập tất cả kèo bóng đá c1 bảng và cột được tham chiếu, ngay cả khi chúng có nguồn gốc từ kèo bóng đá c1 chế độ xem sau đó được mở rộng, để chúng tôi áp dụng kèo bóng đá c1 quy tắc kiểm soát truy cập nhất quán độc lập với cách thức mà nội dung bảng được tham chiếu.
Hệ thống đặc quyền cơ sở dữ liệu mặc định cho phép kèo bóng đá c1 siêu người dùng cơ sở dữ liệu sửa đổi danh mục hệ thống bằng kèo bóng đá c1 lệnh DML và tham chiếu hoặc sửa đổi kèo bóng đá c1 bảng bánh mì nướng. kèo bóng đá c1 hoạt động này bị cấm khikèo bóng đá c1được bật.
SelinuxXác định một số quyền để kiểm soát kèo bóng đá c1 hoạt động chung cho từng loại đối tượng; chẳng hạn như sáng tạo, thay đổi, thả và relabel của nhãn bảo mật. Ngoài ra, một số loại đối tượng có quyền đặc biệt để kiểm soát kèo bóng đá c1 hoạt động đặc trưng của chúng; chẳng hạn như bổ sung hoặc xóa kèo bóng đá c1 mục tên trong một lược đồ cụ thể.
Tạo đối tượng cơ sở dữ liệu mới yêu cầuTạoquyền.Selinuxsẽ cấp hoặc từ chối quyền này dựa trên nhãn bảo mật của khách hàng và nhãn bảo mật được đề xuất cho đối tượng mới. Trong một số trường hợp, cần có kèo bóng đá c1 đặc quyền bổ sung:
PostgreSQL: Tài kèoNgoài ra yêu cầuGetAttrQuyền cho cơ sở dữ liệu nguồn hoặc mẫu.
Tạo một đối tượng lược đồ yêu cầuadd_namequyền trên lược đồ cha.
Tạo bảng bổ sung yêu cầu quyền tạo từng cột bảng riêng lẻ, giống như mỗi cột bảng là một đối tượng cấp cao nhất.
Tạo hàm được đánh dấu làLeakproofNgoài ra yêu cầuCài đặt26107_26160Leakproofđược đặt cho một chức năng hiện có.)
KhiDroplệnh được thực thi,Dropsẽ được kiểm tra trên đối tượng bị xóa. Quyền cũng sẽ được kiểm tra cho kèo bóng đá c1 đối tượng bị rơi gián tiếp quaCascade. Xóa kèo bóng đá c1 đối tượng có trong một lược đồ cụ thể (bảng, chế độ xem, trình tự và quy trình) Ngoài ra yêu cầuremove_nameTrên lược đồ.
khiAlterlệnh được thực thi,SETATTRsẽ được kiểm tra trên đối tượng được sửa đổi cho từng loại đối tượng, ngoại trừ kèo bóng đá c1 đối tượng công ty con như chỉ mục hoặc kích hoạt của bảng, trong đó thay vào đó, kèo bóng đá c1 quyền được kiểm tra trên đối tượng cha. Trong một số trường hợp, cần có quyền bổ sung:
Chuyển một đối tượng sang một lược đồ mới cũng yêu cầuremove_namequyền trên lược đồ cũ vàadd_namequyền trên cái mới.
ĐặtLeakproofthuộc tính trên một hàm yêu cầuCài đặtquyền.
Sử dụngPostgreSQL: TàiTrên một đối tượng cũng yêu cầuRelabelfromQuyền cho đối tượng kết hợp với nhãn bảo mật cũ của nó vàrelabeltoQuyền cho đối tượng kết hợp với nhãn bảo mật mới của nó. (Trong trường hợp nhiều nhà cung cấp nhãn được cài đặt và người dùng cố gắng đặt nhãn bảo mật, nhưng nó không được quản lý bởiSelinux, chỉSETATTRnên được kèo bóng đá c1 tại đây. Điều này hiện không được thực hiện do hạn chế thực hiện.)
Quy trình đáng tin cậy tương tự như kèo bóng đá c1 hàm xác định bảo mật hoặc kèo bóng đá c1 lệnh setuid.Selinux28226_28643
Postgres =# Tạo bảng bảng (
CID INT Khóa chính,
văn bản cname,
Văn bản tín dụng
);
Tạo bảng
Postgres =# Nhãn bảo mật trên cột Khách hàng.Credit
Là 'system_u: object_r: sepgsql_secret_table_t: s0';
Nhãn bảo mật
postgres =# tạo hàm show_credit (int) trả về văn bản
Như 'Chọn regexp_replace (tín dụng,' '-[0-9]+$' ',' '-xxxx' ',' 'g' ')
Từ khách hàng nơi CID = $ 1 '
Ngôn ngữ SQL;
Tạo chức năng
postgres =# Nhãn bảo mật trên chức năng show_credit (int)
Là 'system_u: object_r: sepgsql_trusted_proc_exec_t: s0';
Nhãn bảo mật
kèo bóng đá c1 hoạt động trên nên được thực hiện bởi người dùng quản trị.
Postgres =# Chọn * từ Khách hàng; Lỗi: Selinux: vi phạm chính sách bảo mật postgres =# Chọn CID, CNAME, SHOW_CREDIT (CID) từ Khách hàng; cid | cname | show_credit -----+--------+--------------------- 1 | Taro | 1111-2222-3333-XXXX 2 | Hanako | 5555-6666-7777-XXXX (2 hàng)
Trong trường hợp này, người dùng thông thường không thể tham khảoKhách hàng.Credittrực tiếp, nhưng một thủ tục đáng tin cậyshow_creditCho phép anh ta in số thẻ tín dụng của khách hàng với một số chữ số được che dấu.
Có thể sử dụng tính năng chuyển đổi miền động của Selinux để chuyển nhãn bảo mật của quy trình khách, miền máy khách, sang bối cảnh mới, nếu điều đó được chính sách bảo mật cho phép. Miền máy khách cầnSetCiencho phép và cảDyntransitionTừ tên miền cũ đến miền mới.
30472_30719DyntransitionQuyền chỉ được coi là an toàn khi được sử dụng để chuyển sang một miền với một bộ đặc quyền nhỏ hơn so với bản gốc. Ví dụ:
hồi quy =# chọn sepgsql_getcon ();
sepgsql_getcon
-----------------------------------------------------------
Unconfined_u: Unconed_r: Unconed_t: S0-S0: C0.C1023
(1 hàng)
hồi quy =# Chọn sepgsql_setcon ('unconfined_u: unconfined_r: unconfined_t: s0-s0: c1.c4');
sepgsql_setcon
----------------
t
(1 hàng)
hồi quy =# Chọn sepgsql_setcon ('unconfined_u: unconfined_r: unconfined_t: s0-s0: c1.c1023');
Lỗi: Selinux: vi phạm chính sách bảo mật
Trong ví dụ này, chúng tôi được phép chuyển từ phạm vi MCS lớn hơnC1.C1023đến phạm vi nhỏ hơnc1.c4, nhưng chuyển đổi trở lại đã bị từ chối.
31589_3191631934_31952Hàm từ trong một thủ tục đáng tin cậy; Điều đó sẽ cần một số thông tin xác thực để ủy quyền cho yêu cầu chuyển nhãn máy khách. Sau đó, phiên này sẽ có đặc quyền của người dùng mục tiêu, thay vì Pooler kết nối. Kết nối Pooler sau này có thể hoàn nguyên thay đổi nhãn bảo mật bằng cách sử dụngsepgsql_setcon ()vớinullĐối số, một lần nữa được gọi từ trong một quy trình đáng tin cậy với kèo bóng đá c1 quyền thích hợp. Vấn đề ở đây là chỉ có quy trình đáng tin cậy thực sự mới có quyền thay đổi nhãn bảo mật hiệu quả và chỉ làm như vậy khi được cung cấp thông tin phù hợp. Tất nhiên, để hoạt động an toàn, lưu trữ thông tin xác thực (bảng, định nghĩa thủ tục hoặc bất cứ điều gì) phải được bảo vệ khỏi truy cập trái phép.
Chúng tôi từ chốiloadLệnh trên bảng, vì bất kỳ mô -đun nào được tải đều có thể dễ dàng phá vỡ thực thi chính sách bảo mật.
Bảng F-29Hiển thị kèo bóng đá c1 chức năng có sẵn.
Bảng F-29. Chức năng kèo bóng đá c1
| sepgsql_getcon () trả về văn bản | Trả về miền máy khách, nhãn bảo mật hiện tại của máy khách. |
| sepgsql_setcon (văn bản) trả về bool | Chuyển miền máy khách của phiên hiện tại sang miền mới, nếu được chính sách bảo mật cho phép. Nó cũng chấp nhậnnullNhập như một yêu cầu chuyển sang miền gốc của máy khách. |
| sepgsql_mcstrans_in (văn bản) trả về văn bản | Dịch phạm vi MLS/MCS đủ điều kiện thành định dạng RAW nếu trình nền McStrans đang chạy. |
| sepgsql_mcstrans_out (văn bản) trả về văn bản | Dịch phạm vi MLS/MCS đã cho thành định dạng đủ điều kiện nếu trình nền McStrans đang chạy. |
| sepgsql_restorecon (văn bản) trả về bool | Đặt nhãn bảo mật ban đầu cho tất cả kèo bóng đá c1 đối tượng trong cơ sở dữ liệu hiện tại. Đối số có thể là null hoặc tên của một specfile được sử dụng như là sự thay thế của mặc định hệ thống. |
Do hạn chế thực hiện, một số hoạt động DDL không kèo bóng đá c1 quyền.
Do kèo bóng đá c1 hạn chế thực hiện, kèo bóng đá c1 hoạt động DCL không kiểm tra quyền.
PostgreSQLKhông hỗ trợ truy cập cấp hàng; Vì vậy,kèo bóng đá c1cũng không hỗ trợ.
kèo bóng đá c135306_35694
Trang wiki này cung cấp một cái nhìn tổng quan ngắn gọn, thiết kế bảo mật, kiến trúc, quản trị và kèo bóng đá c1 tính năng sắp tới.
Tài liệu này cung cấp một loạt kiến thức để quản lýSelinuxTrên hệ thống của bạn. Nó tập trung chủ yếu vào Fedora, nhưng không giới hạn ở Fedora.
Tài liệu này trả lời kèo bóng đá c1 câu hỏi thường gặp vềSelinux. Nó tập trung chủ yếu vào Fedora, nhưng không giới hạn ở Fedora.
Kaigai Kohei<kaigai@ak.jp.nec.com