forum.opennet.ru - "OpenNews: Философия SELinux" (24)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Философия SELinux"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Философия SELinux"
Сообщение от opennews (??) on 26-Дек-05, 00:07
В PDF документе "Demystifying Security Enhanced Linux (http://www.ebcvg.com/pdf/dl/demystifying_selinux.pdf)" рассказывается о путях применения и внутренней сути подсистемы SELinux, не совсем прозрачной для начального понимания. В статье также приводятся примеры создания несложных SELinux политик. Дополнительно, можно отметить публикацию письма "SELinux kills multiboot (http://lwn.net/Articles/165530/)" со ссылкой на дискуссию (http://www.redhat.com/archives/fedora-test-list/2005-December/msg00671.html) в списке рассылки fedora-test-list, в которой поднимаются проблемы (https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=152827) использования SELinux в системах на которых установлено несколько ОС и используются одинакоые точки монтирования (например, один /home для всех). URL: http://www.ebcvg.com/articles.php?id=1013 Новость: https://www.opennet.ru/opennews/art.shtml?num=6700
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

Оглавление

Философия SELinux, THESERG, 00:07 , 26-Дек-05, (1)
Философия SELinux, sash, 01:36 , 26-Дек-05, (2)

Философия SELinux, andrewk, 11:12 , 26-Дек-05, (4)

Философия SELinux, sash, 12:08 , 26-Дек-05, (6)

Одно из сильнейших, Otto Katz Feldkurat, 12:21 , 26-Дек-05, (9)

Одно из сильнейших, sash, 12:39 , 26-Дек-05, (10)

На мой взгляд, начинать надо, Otto Katz Feldkurat, 13:36 , 26-Дек-05, (13)

На мой взгляд, все не просто, sash, 13:45 , 26-Дек-05, (14)

Понял тебя., Otto Katz Feldkurat, 14:42 , 26-Дек-05, (17)

Понял тебя., sash, 14:47 , 26-Дек-05, (18)

Философия SELinux, Mikk, 12:05 , 26-Дек-05, (5)

Философия SELinux, sash, 12:10 , 26-Дек-05, (7)

Философия SELinux, Mike, 12:17 , 26-Дек-05, (8)

Философия SELinux, sash, 13:09 , 26-Дек-05, (11)

Философия SELinux, Mike, 13:24 , 26-Дек-05, (12)

Философия SELinux, andrewk, 13:53 , 26-Дек-05, (15)
Философия SELinux, sash, 13:54 , 26-Дек-05, (16)

Философия SELinux, dsl, 08:25 , 26-Дек-05, (3)
Философия SELinux, PavelVice, 16:10 , 26-Дек-05, (19)

Философия SELinux, rt, 02:35 , 27-Дек-05, (20)

Философия SELinux, Сердюка, 10:57 , 27-Дек-05, (21)
Философия SELinux, don, 12:48 , 27-Дек-05, (22)
Философия SELinux, Guest, 13:23 , 27-Дек-05, (23)
Философия SELinux, Аноним, 09:02 , 11-Янв-06, (25)

Сообщения по теме [Сортировка по времени, UBB]

1. "Философия SELinux"

Сообщение от THESERG (??) on 26-Дек-05, 00:07

глючит всё это наверно...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

2. "Философия SELinux"

Сообщение от sash (??) on 26-Дек-05, 01:36

неа. давеча был на семинаре редхета. она по умолчанию включена в RHEL 4.
очень и очень. штука нетривиальная и с ней можно сделать все что угодно.
Кста после этого скучного семинара, самым полезным на котором нашел материалы редхета, презенташки и т.д. многое почерпнул из материалов, начал уважительно относится к редхету. Даже подумываю о подписке на Standart и использованию RHEL4

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

4. "Философия SELinux"

Сообщение от andrewk on 26-Дек-05, 11:12

жертва рекламы :) любую систему стоит использовать лишь потому, что она в состоянии тебе дать какие-либо преимущества, а не потому, что про нее красиво рассказали на семинаре.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

6. "Философия SELinux"

Сообщение от sash (??) on 26-Дек-05, 12:08

Реклама это последнее на что обращаю внимание.
Преимущества в поддержке, и цене на нее.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

9. "Одно из сильнейших"

Сообщение от Otto Katz Feldkurat on 26-Дек-05, 12:21

переживаний детства - утрата прав на директорию в системе с ACL.
ACL, SELinux и TrustedBSD - потенциально источник больших проблем с правами на то и на сё. Отладить просто нормальную работу такой системы может оказаться сесьма ресурсной задачей. Готов ли ты к тому, что МТА недели две будет тебе отвечать в различных вариантах: "я отдыхаю и ты отдыхаешь у тебя правов нема"? Потом станешь прикручивать клиентов. По одному. И...
А ради чего? У тебя в системе каждый день объявляются бэкдоры, активнсоть пользователей которых надо ограничить?
Си - отличный копилятор. И что? Исходя из этого факта ты готов написать лично для себя ОС? Отладка прав может превратиться в написание собственного ядра в человеко-часах.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

10. "Одно из сильнейших"

Сообщение от sash (??) on 26-Дек-05, 12:39

Согласен с каждым словом.
Я не сторонник ни противник SELinux.
Как и везде должна быть корреляция между приемлемым решением задачи (в данном случае безопасности) и затрат на нее.
Заметьте в списках политик SELinux нет sendmail. :))

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

13. "На мой взгляд, начинать надо"

Сообщение от Otto Katz Feldkurat on 26-Дек-05, 13:36

с шифрования трафика.
Что толку наводить тень на плетень внутри DMZ, если твой внешний траф может быть обснифан из локалки провайдера, из локалки коллокатора, на пиринге, а внутренний - любым алкашом из соседней комнаты?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

14. "На мой взгляд, все не просто"

Сообщение от sash (??) on 26-Дек-05, 13:45

с тем что данные являются общедоступными не только в сети.
Хочешь безопасности - это дорого стоит. Толлу с шифрования траффика если вспомнить о тех.средствах позволяющие снимать изображение с ЕЛТ, получать данные с кабеля при печати на принтер, и т.д. Эти средства были на вооружении у СБ еще в 70-х. А что на вооружении у них сейчас?
Гугл может позволить себе выложить отснятую поверхность земли, в неплохом качестве. :) Что же тогда могут те у кого есть средства разработанные на деньги вкладываемые в ВВП?
Безопасность палка о десяти концах, и шифрованием трафика не обойтись.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

17. "Понял тебя."

Сообщение от Otto Katz Feldkurat on 26-Дек-05, 14:42

Ты не в курсе "проститутской" сетевухи и сниффа. И сопутствующих средств.
В домовых сетях в Москве все снифают всех. Угоны красивых е-мейл типа "банк@мейл.ру" - норма жизни. Возвращается доступ к такому ящику только через пляску с топорами.
Жди статьи у во у в журнеле "Ккуль Хацкер", он же просто: "Хацкер", он же "Ксакеп.ру".
Зря я ее так долго откладывал.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

18. "Понял тебя."

Сообщение от sash (??) on 26-Дек-05, 14:47

В курсе. Все средства упоминать попросту нет смысла.
Обязательно прочту. в последнее время журнал публикует толковые статьи.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

5. "Философия SELinux"

Сообщение от Mikk on 26-Дек-05, 12:05

>с ней можно сделать все что угодно.
С ней оракла сделать нельзя. Не будет работать.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

7. "Философия SELinux"

Сообщение от sash (??) on 26-Дек-05, 12:10

>>с ней можно сделать все что угодно.
>С ней оракла сделать нельзя. Не будет работать.
SELinux не будет работать с oracle? имеешь ввиду oracle database 9i/10g ?
странно, rhel4 с включенным selinux работает БД.

Но не это имел ввиду. :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

8. "Философия SELinux"

Сообщение от Mike (??) on 26-Дек-05, 12:17

CentOS 4 юзайте. Те же яйца, тока бесплатно.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

11. "Философия SELinux"

Сообщение от sash (??) on 26-Дек-05, 13:09

Поймите критерий бесплатности не играет такую большую роль как ему придают ?начинающие?.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

12. "Философия SELinux"

Сообщение от Mike (??) on 26-Дек-05, 13:24

Не думаю. Вот напр. мне зачем rhel4, когда есть совместимый с ним на 100% centos 4, ну мб лишенный нек. коммерческих шалабушек, кот мне вcе равно не нужны.
Нет, конечно мне нужен rhel4, но просто чтоб был (иначе с чем будет Centos совместим?), но платить за него я не буду и никому не советую.
А начинающим - тем более, зачем платить деньги, да и за что?
Так что, я думаю тут решающий фактор - отсутствие информации, ну или нежелание искать альтернативы раскрученному бренду.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

15. "Философия SELinux"

Сообщение от andrewk on 26-Дек-05, 13:53

Mike, здесь не такой простой вопрос, как ты думаешь. если начать обсуждать, почему иногда предпочтительнее купить решение от коммерческого вендора, а иногда можно обойтись и аналогичным бесплатным решением, все это выльется в огромной флейм, толку от которого будет 0. просто поверь, что есть такие обстоятельства, благодаря которым люди предпочитают юзать именно rhel4, а не centos, даже зная о существовании последней.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

16. "Философия SELinux"

Сообщение от sash (??) on 26-Дек-05, 13:54

Практически не использую RH, от федоры просто воротит - собрать столько ПО  в одном месте да еще и запутать все это надо уметь.
перед centos RHEL выигрывает имено поддержкой. мне так кажется, если ошибаюсь - поправте.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

3. "Философия SELinux"

Сообщение от dsl on 26-Дек-05, 08:25

http://rhd.ru/docs/articles/selinux_rhel4/

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

19. "Философия SELinux"

Сообщение от PavelVice (ok) on 26-Дек-05, 16:10

SeLinux сложен, но поддерживается без всяхих патчей.
Есть еще lids и gradm. Они мне больще нравятся. Есть  еще vserver(опять же в виде патчей толька). Хотелось бы иметь возможность выбора между этими решениями без лишнего гимора с патчами. Я конечно понимаю что трудно сделать что бы код этих проектов мог сосущестовать в ядре, но все же.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

20. "Философия SELinux"

Сообщение от rt (??) on 27-Дек-05, 02:35

а что, так сложно патч наложить?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

21. "Философия SELinux"

Сообщение от Сердюка on 27-Дек-05, 10:57

да и зачем патчи? есть уже наложенные и постоянно обновляемые, напр Gentoo
emerge vserver-sources

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

22. "Философия SELinux"

Сообщение от don on 27-Дек-05, 12:48

Юзаю CentOS + SELinux - все отлично - всем доволен, как и все остальное - нужно сначала изучить...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

23. "Философия SELinux"

Сообщение от Guest (??) on 27-Дек-05, 13:23

А может grsecurity или RSBAC лучше?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

25. "Философия SELinux"

Сообщение от Аноним on 11-Янв-06, 09:02

>>А может grsecurity или RSBAC лучше?
и там и там мандантный доступ -только все возможности RSBAC получаются как частный случай SELinux ,то есть это гораздо более мощная технология -да и лучшая железобетонность этого проекта -в сети есть две машины с SELinux (в проектах дженту и дебиана или редхата) которые стоят себя мирно с открытым доступом по ssh roota  с известным паролем куда каждый может зайти попытать удачи по взлому ,а демострации других систем защиты пока нету почему то -это тоже показатель!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх | ^

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Философия SELinux"
Сообщение от THESERG (??) on 26-Дек-05, 00:07
глючит всё это наверно...
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

2. "Философия SELinux"
Сообщение от sash (??) on 26-Дек-05, 01:36
неа. давеча был на семинаре редхета. она по умолчанию включена в RHEL 4. очень и очень. штука нетривиальная и с ней можно сделать все что угодно. Кста после этого скучного семинара, самым полезным на котором нашел материалы редхета, презенташки и т.д. многое почерпнул из материалов, начал уважительно относится к редхету. Даже подумываю о подписке на Standart и использованию RHEL4
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	4. "Философия SELinux"
	Сообщение от andrewk on 26-Дек-05, 11:12
	жертва рекламы :) любую систему стоит использовать лишь потому, что она в состоянии тебе дать какие-либо преимущества, а не потому, что про нее красиво рассказали на семинаре.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	6. "Философия SELinux"
	Сообщение от sash (??) on 26-Дек-05, 12:08
	Реклама это последнее на что обращаю внимание. Преимущества в поддержке, и цене на нее.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	9. "Одно из сильнейших"
	Сообщение от Otto Katz Feldkurat on 26-Дек-05, 12:21
	переживаний детства - утрата прав на директорию в системе с ACL. ACL, SELinux и TrustedBSD - потенциально источник больших проблем с правами на то и на сё. Отладить просто нормальную работу такой системы может оказаться сесьма ресурсной задачей. Готов ли ты к тому, что МТА недели две будет тебе отвечать в различных вариантах: "я отдыхаю и ты отдыхаешь у тебя правов нема"? Потом станешь прикручивать клиентов. По одному. И... А ради чего? У тебя в системе каждый день объявляются бэкдоры, активнсоть пользователей которых надо ограничить? Си - отличный копилятор. И что? Исходя из этого факта ты готов написать лично для себя ОС? Отладка прав может превратиться в написание собственного ядра в человеко-часах.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	10. "Одно из сильнейших"
	Сообщение от sash (??) on 26-Дек-05, 12:39
	Согласен с каждым словом. Я не сторонник ни противник SELinux. Как и везде должна быть корреляция между приемлемым решением задачи (в данном случае безопасности) и затрат на нее. Заметьте в списках политик SELinux нет sendmail. :))
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	13. "На мой взгляд, начинать надо"
	Сообщение от Otto Katz Feldkurat on 26-Дек-05, 13:36
	с шифрования трафика. Что толку наводить тень на плетень внутри DMZ, если твой внешний траф может быть обснифан из локалки провайдера, из локалки коллокатора, на пиринге, а внутренний - любым алкашом из соседней комнаты?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	14. "На мой взгляд, все не просто"
	Сообщение от sash (??) on 26-Дек-05, 13:45
	с тем что данные являются общедоступными не только в сети. Хочешь безопасности - это дорого стоит. Толлу с шифрования траффика если вспомнить о тех.средствах позволяющие снимать изображение с ЕЛТ, получать данные с кабеля при печати на принтер, и т.д. Эти средства были на вооружении у СБ еще в 70-х. А что на вооружении у них сейчас? Гугл может позволить себе выложить отснятую поверхность земли, в неплохом качестве. :) Что же тогда могут те у кого есть средства разработанные на деньги вкладываемые в ВВП? Безопасность палка о десяти концах, и шифрованием трафика не обойтись.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	17. "Понял тебя."
	Сообщение от Otto Katz Feldkurat on 26-Дек-05, 14:42
	Ты не в курсе "проститутской" сетевухи и сниффа. И сопутствующих средств. В домовых сетях в Москве все снифают всех. Угоны красивых е-мейл типа "банк@мейл.ру" - норма жизни. Возвращается доступ к такому ящику только через пляску с топорами. Жди статьи у во у в журнеле "Ккуль Хацкер", он же просто: "Хацкер", он же "Ксакеп.ру". Зря я ее так долго откладывал.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	18. "Понял тебя."
	Сообщение от sash (??) on 26-Дек-05, 14:47
	В курсе. Все средства упоминать попросту нет смысла. Обязательно прочту. в последнее время журнал публикует толковые статьи.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	5. "Философия SELinux"
	Сообщение от Mikk on 26-Дек-05, 12:05
	>с ней можно сделать все что угодно. С ней оракла сделать нельзя. Не будет работать.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	7. "Философия SELinux"
	Сообщение от sash (??) on 26-Дек-05, 12:10
	>>с ней можно сделать все что угодно. >С ней оракла сделать нельзя. Не будет работать. SELinux не будет работать с oracle? имеешь ввиду oracle database 9i/10g ? странно, rhel4 с включенным selinux работает БД. Но не это имел ввиду. :)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	8. "Философия SELinux"
	Сообщение от Mike (??) on 26-Дек-05, 12:17
	CentOS 4 юзайте. Те же яйца, тока бесплатно.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	11. "Философия SELinux"
	Сообщение от sash (??) on 26-Дек-05, 13:09
	Поймите критерий бесплатности не играет такую большую роль как ему придают ?начинающие?.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	12. "Философия SELinux"
	Сообщение от Mike (??) on 26-Дек-05, 13:24
	Не думаю. Вот напр. мне зачем rhel4, когда есть совместимый с ним на 100% centos 4, ну мб лишенный нек. коммерческих шалабушек, кот мне вcе равно не нужны. Нет, конечно мне нужен rhel4, но просто чтоб был (иначе с чем будет Centos совместим?), но платить за него я не буду и никому не советую. А начинающим - тем более, зачем платить деньги, да и за что? Так что, я думаю тут решающий фактор - отсутствие информации, ну или нежелание искать альтернативы раскрученному бренду.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	15. "Философия SELinux"
	Сообщение от andrewk on 26-Дек-05, 13:53
	Mike, здесь не такой простой вопрос, как ты думаешь. если начать обсуждать, почему иногда предпочтительнее купить решение от коммерческого вендора, а иногда можно обойтись и аналогичным бесплатным решением, все это выльется в огромной флейм, толку от которого будет 0. просто поверь, что есть такие обстоятельства, благодаря которым люди предпочитают юзать именно rhel4, а не centos, даже зная о существовании последней.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	16. "Философия SELinux"
	Сообщение от sash (??) on 26-Дек-05, 13:54
	Практически не использую RH, от федоры просто воротит - собрать столько ПО в одном месте да еще и запутать все это надо уметь. перед centos RHEL выигрывает имено поддержкой. мне так кажется, если ошибаюсь - поправте.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

3. "Философия SELinux"
Сообщение от dsl on 26-Дек-05, 08:25
http://rhd.ru/docs/articles/selinux_rhel4/
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

19. "Философия SELinux"
Сообщение от PavelVice (ok) on 26-Дек-05, 16:10
SeLinux сложен, но поддерживается без всяхих патчей. Есть еще lids и gradm. Они мне больще нравятся. Есть еще vserver(опять же в виде патчей толька). Хотелось бы иметь возможность выбора между этими решениями без лишнего гимора с патчами. Я конечно понимаю что трудно сделать что бы код этих проектов мог сосущестовать в ядре, но все же.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^


	20. "Философия SELinux"
	Сообщение от rt (??) on 27-Дек-05, 02:35
	а что, так сложно патч наложить?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

21. "Философия SELinux"
Сообщение от Сердюка on 27-Дек-05, 10:57
да и зачем патчи? есть уже наложенные и постоянно обновляемые, напр Gentoo emerge vserver-sources
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

22. "Философия SELinux"
Сообщение от don on 27-Дек-05, 12:48
Юзаю CentOS + SELinux - все отлично - всем доволен, как и все остальное - нужно сначала изучить...
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

23. "Философия SELinux"
Сообщение от Guest (??) on 27-Дек-05, 13:23
А может grsecurity или RSBAC лучше?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^

25. "Философия SELinux"
Сообщение от Аноним on 11-Янв-06, 09:02
>>А может grsecurity или RSBAC лучше? и там и там мандантный доступ -только все возможности RSBAC получаются как частный случай SELinux ,то есть это гораздо более мощная технология -да и лучшая железобетонность этого проекта -в сети есть две машины с SELinux (в проектах дженту и дебиана или редхата) которые стоят себя мирно с открытым доступом по ssh roota с известным паролем куда каждый может зайти попытать удачи по взлому ,а демострации других систем защиты пока нету почему то -это тоже показатель!
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх \| ^