форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Философия SELinux"

Сообщение от opennews (??) on 26-Дек-05, 00:07

В PDF документе "Demystifying Security Enhanced Linux (http://www.ebcvg.com/pdf/dl/demystifying_selinux.pdf)" рассказывается о путях применения и внутренней сути подсистемы SELinux,  не совсем прозрачной для начального понимания. В статье также приводятся примеры создания несложных SELinux политик. Дополнительно, можно отметить публикацию письма "SELinux kills multiboot (http://lwn.net/Articles/165530/)" со ссылкой на дискуссию (http://www.redhat.com/archives/fedora-test-list/2005-December/msg00671.html) в списке рассылки fedora-test-list, в которой поднимаются проблемы (https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=152827) использования SELinux в системах на которых установлено несколько ОС и используются одинакоые точки монтирования (например, один /home для всех). URL: http://www.ebcvg.com/articles.php?id=1013 Новость: https://www.opennet.ru/opennews/art.shtml?num=6700

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Философия SELinux"

Сообщение от THESERG (??) on 26-Дек-05, 00:07

глючит всё это наверно...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

2. "Философия SELinux"

Сообщение от sash (??) on 26-Дек-05, 01:36

неа. давеча был на семинаре редхета. она по умолчанию включена в RHEL 4. очень и очень. штука нетривиальная и с ней можно сделать все что угодно. Кста после этого скучного семинара, самым полезным на котором нашел материалы редхета, презенташки и т.д. многое почерпнул из материалов, начал уважительно относится к редхету. Даже подумываю о подписке на Standart и использованию RHEL4

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	4. "Философия SELinux"
	Сообщение от andrewk on 26-Дек-05, 11:12
	жертва рекламы :) любую систему стоит использовать лишь потому, что она в состоянии тебе дать какие-либо преимущества, а не потому, что про нее красиво рассказали на семинаре.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	6. "Философия SELinux"
	Сообщение от sash (??) on 26-Дек-05, 12:08
	Реклама это последнее на что обращаю внимание. Преимущества в поддержке, и цене на нее.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	9. "Одно из сильнейших"
	Сообщение от Otto Katz Feldkurat on 26-Дек-05, 12:21
	переживаний детства - утрата прав на директорию в системе с ACL. ACL, SELinux и TrustedBSD - потенциально источник больших проблем с правами на то и на сё. Отладить просто нормальную работу такой системы может оказаться сесьма ресурсной задачей. Готов ли ты к тому, что МТА недели две будет тебе отвечать в различных вариантах: "я отдыхаю и ты отдыхаешь у тебя правов нема"? Потом станешь прикручивать клиентов. По одному. И... А ради чего? У тебя в системе каждый день объявляются бэкдоры, активнсоть пользователей которых надо ограничить? Си - отличный копилятор. И что? Исходя из этого факта ты готов написать лично для себя ОС? Отладка прав может превратиться в написание собственного ядра в человеко-часах.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	10. "Одно из сильнейших"
	Сообщение от sash (??) on 26-Дек-05, 12:39
	Согласен с каждым словом. Я не сторонник ни противник SELinux. Как и везде должна быть корреляция между приемлемым решением задачи (в данном случае безопасности) и затрат на нее. Заметьте в списках политик SELinux нет sendmail. :))
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	13. "На мой взгляд, начинать надо"
	Сообщение от Otto Katz Feldkurat on 26-Дек-05, 13:36
	с шифрования трафика. Что толку наводить тень на плетень внутри DMZ, если твой внешний траф может быть обснифан из локалки провайдера, из локалки коллокатора, на пиринге, а внутренний - любым алкашом из соседней комнаты?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	14. "На мой взгляд, все не просто"
	Сообщение от sash (??) on 26-Дек-05, 13:45
	с тем что данные являются общедоступными не только в сети. Хочешь безопасности - это дорого стоит. Толлу с шифрования траффика если вспомнить о тех.средствах позволяющие снимать изображение с ЕЛТ, получать данные с кабеля при печати на принтер, и т.д. Эти средства были на вооружении у СБ еще в 70-х. А что на вооружении у них сейчас? Гугл может позволить себе выложить отснятую поверхность земли, в неплохом качестве. :) Что же тогда могут те у кого есть средства разработанные на деньги вкладываемые в ВВП? Безопасность палка о десяти концах, и шифрованием трафика не обойтись.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	17. "Понял тебя."
	Сообщение от Otto Katz Feldkurat on 26-Дек-05, 14:42
	Ты не в курсе "проститутской" сетевухи и сниффа. И сопутствующих средств. В домовых сетях в Москве все снифают всех. Угоны красивых е-мейл типа "банк@мейл.ру" - норма жизни. Возвращается доступ к такому ящику только через пляску с топорами. Жди статьи у во у в журнеле "Ккуль Хацкер", он же просто: "Хацкер", он же "Ксакеп.ру". Зря я ее так долго откладывал.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	18. "Понял тебя."
	Сообщение от sash (??) on 26-Дек-05, 14:47
	В курсе. Все средства упоминать попросту нет смысла. Обязательно прочту. в последнее время журнал публикует толковые статьи.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	5. "Философия SELinux"
	Сообщение от Mikk on 26-Дек-05, 12:05
	>с ней можно сделать все что угодно. С ней оракла сделать нельзя. Не будет работать.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	7. "Философия SELinux"
	Сообщение от sash (??) on 26-Дек-05, 12:10
	>>с ней можно сделать все что угодно. >С ней оракла сделать нельзя. Не будет работать. SELinux не будет работать с oracle? имеешь ввиду oracle database 9i/10g ? странно, rhel4 с включенным selinux работает БД. Но не это имел ввиду. :)
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	8. "Философия SELinux"
	Сообщение от Mike (??) on 26-Дек-05, 12:17
	CentOS 4 юзайте. Те же яйца, тока бесплатно.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	11. "Философия SELinux"
	Сообщение от sash (??) on 26-Дек-05, 13:09
	Поймите критерий бесплатности не играет такую большую роль как ему придают ?начинающие?.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	12. "Философия SELinux"
	Сообщение от Mike (??) on 26-Дек-05, 13:24
	Не думаю. Вот напр. мне зачем rhel4, когда есть совместимый с ним на 100% centos 4, ну мб лишенный нек. коммерческих шалабушек, кот мне вcе равно не нужны. Нет, конечно мне нужен rhel4, но просто чтоб был (иначе с чем будет Centos совместим?), но платить за него я не буду и никому не советую. А начинающим - тем более, зачем платить деньги, да и за что? Так что, я думаю тут решающий фактор - отсутствие информации, ну или нежелание искать альтернативы раскрученному бренду.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	15. "Философия SELinux"
	Сообщение от andrewk on 26-Дек-05, 13:53
	Mike, здесь не такой простой вопрос, как ты думаешь. если начать обсуждать, почему иногда предпочтительнее купить решение от коммерческого вендора, а иногда можно обойтись и аналогичным бесплатным решением, все это выльется в огромной флейм, толку от которого будет 0. просто поверь, что есть такие обстоятельства, благодаря которым люди предпочитают юзать именно rhel4, а не centos, даже зная о существовании последней.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	16. "Философия SELinux"
	Сообщение от sash (??) on 26-Дек-05, 13:54
	Практически не использую RH, от федоры просто воротит - собрать столько ПО  в одном месте да еще и запутать все это надо уметь. перед centos RHEL выигрывает имено поддержкой. мне так кажется, если ошибаюсь - поправте.
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

3. "Философия SELinux"

Сообщение от dsl on 26-Дек-05, 08:25

http://rhd.ru/docs/articles/selinux_rhel4/

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

19. "Философия SELinux"

Сообщение от PavelVice (ok) on 26-Дек-05, 16:10

SeLinux сложен, но поддерживается без всяхих патчей. Есть еще lids и gradm. Они мне больще нравятся. Есть  еще vserver(опять же в виде патчей толька). Хотелось бы иметь возможность выбора между этими решениями без лишнего гимора с патчами. Я конечно понимаю что трудно сделать что бы код этих проектов мог сосущестовать в ядре, но все же.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

	20. "Философия SELinux"
	Сообщение от rt (??) on 27-Дек-05, 02:35
	а что, так сложно патч наложить?
	Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

21. "Философия SELinux"

Сообщение от Сердюка on 27-Дек-05, 10:57

да и зачем патчи? есть уже наложенные и постоянно обновляемые, напр Gentoo emerge vserver-sources

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

22. "Философия SELinux"

Сообщение от don on 27-Дек-05, 12:48

Юзаю CentOS + SELinux - все отлично - всем доволен, как и все остальное - нужно сначала изучить...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

23. "Философия SELinux"

Сообщение от Guest (??) on 27-Дек-05, 13:23

А может grsecurity или RSBAC лучше?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

25. "Философия SELinux"

Сообщение от Аноним on 11-Янв-06, 09:02

>>А может grsecurity или RSBAC лучше? и там и там мандантный доступ -только все возможности RSBAC получаются как частный случай SELinux ,то есть это гораздо более мощная технология -да и лучшая железобетонность этого проекта -в сети есть две машины с SELinux (в проектах дженту и дебиана или редхата) которые стоят себя мирно с открытым доступом по ssh roota  с известным паролем куда каждый может зайти попытать удачи по взлому ,а демострации других систем защиты пока нету почему то -это тоже показатель!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема