Portál AbcLinuxu, 20. říjen 2017 23:54

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
alblaho avatar 10.9.2009 08:49 alblaho | skóre: 17 | blog: alblog
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Odpovědět | Sbalit | Link | Blokovat | Admin
Celý tenhle systém byl pravděpodobně zčásti vymyšlen proto, aby si admini mohli říct o víc peněz. Budou zasloužené:-). Ještě že se živím programováním.
Bedňa avatar 10.9.2009 11:06 Bedňa | skóre: 33 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Po tomto diele sa fakt už SElinuxu bojím :)

 

Pokecajte si s umelou stupiditou na http://www.kernelultras.org/
10.9.2009 14:23 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Proč to? Sice to není tak jednoduché jako "nainstalujte si e-shop v pěti jednoduchých krocích" (a ani nemůže být, protože tu jde o bezpečnost), ale zas to není o nic náročnější než se naučit například to programování.
In Ada the typical infinite loop would normally be terminated by detonation.
10.9.2009 21:32 TM
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Právě proto, že jde o bezpečnost je to v tomto stavu spíš nebezpečné. 99% administrátorů SE Linux prostě vypne, protože co bývá zdrojem záhadných problémů? Právě špatné nastavení SE Linuxu. Co ty problémy mávnutím kouzelného proutku odstraní? Vypnutí SE Linuxu. Takto se na to lidi často dívají a moc se tomu nedivím. Míra zbytečné komplikovanosti a nesrozumitelnosti v tomto případě byla překročena.
11.9.2009 07:08 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
99% uživatelů windows pracuje pod administrátorem, protože co bývá zdrojem záhadných problémů?

Vy nemusíte být takový ignorant jako těch Vašich 99%... jděte a nainstalujte si to, vykoušejte si to a pak vynášejte soudy. Pokud Vám něco nebude fungovat, tak se zeptejte.
In Ada the typical infinite loop would normally be terminated by detonation.
alblaho avatar 11.9.2009 07:48 alblaho | skóre: 17 | blog: alblog
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Většina Wokeníků pracuje pod administrátorem, protože je to jednodušší. Fungují i špatně napsané aplikace (jsou takové ještě), systém vás nebuzeruje že na to a to nemáte oprávnění.

Nedovedu si představit, že bych spravoval SELinux, protože nikdy nebudu mít tak přesné informace o vnitřnostech systému, abych věděl kdo k čemu kdy přistupuje. Špičkový profesionální admin, to je pochopitelně jiná liga.

Druhá možnost je, že celou konfiguraci připraví distributor, takže běžný uživatel o SELinuxu vůbec nemusí vědět. V práci máme jeden RHEL5 a SELinuxu ničemu nevadí, je neviditelný (ale ten stroj jsem neinstaloval, takže nevím, co se tam řešilo).
11.9.2009 08:05 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Většina Wokeníků pracuje pod administrátorem, protože je to jednodušší. Fungují i špatně napsané aplikace (jsou takové ještě), systém vás nebuzeruje že na to a to nemáte oprávnění.
Pochopitelně je vždy jednodušší se bezpečnosti vzdát, než ji navrhnout dobře, a bohužel jsou i případy, kde platí, že žádné zabezpečení je lepší, než špatné. Mimochodem systém bezpečnosti ve Windows NT je metodicky mnohem propracovanější, než ten v UNIXu (ale zase ne tak dobrý jako v SELinuxu, protože stále patří do kategorie DAC, tedy až na ten pokus s UAC ve vistě).
Nedovedu si představit, že bych spravoval SELinux, protože nikdy nebudu mít tak přesné informace o vnitřnostech systému, abych věděl kdo k čemu kdy přistupuje. Špičkový profesionální admin, to je pochopitelně jiná liga.

To je samozřejmě přípustný postoj, narozdíl od ignorance typu "je to moc složité, tak to radši hned vypnu". Bohužel v bezpečnosti je to tak, že čím víc chcete zabezpečovat, tim víc musíte znát jednotlivé procesy, které zabezpečujete. A procesama v operačním systému to jen začíná.

A můžete taky dojít k závěru, že tuto úroveň zabezpečení pro svoje procesy nepotřebujete. Každopádně bych ale doporučil všem těm adminům typu "mám tři weby a poštovní server a pár kamarádů přes ssh", aby se alespoň zkusili podívat na defaultní nastavení targeted politiky pro SELinux (viz níže), která přesně tento případ adresuje.
Druhá možnost je, že celou konfiguraci připraví distributor, takže běžný uživatel o SELinuxu vůbec nemusí vědět. V práci máme jeden RHEL5 a SELinuxu ničemu nevadí, je neviditelný (ale ten stroj jsem neinstaloval, takže nevím, co se tam řešilo).
Připraví to distributor a administrátor, takže uživatel neví o SELinuxu, ale už ví o personální politice která by měla být spjatá s tou počítačovou (např.: heslo si udělej jen jedno, ale dlouhý, nebo: tady máš přístupovou kartu, nenechávej ji na stole).

Pokud máte RHEL5 tak IMHO používáte "targeted" politiku, kde jsou omezeny alespoň služby s přístupem na síť (web server, ...), ale už ne uživatelé, kteří se přihlašují. Nebo ji nemáte a pak máte buď schopného administrátora, a nebo zapracovaly Vaše peníze za subskripci RHEL. :)
In Ada the typical infinite loop would normally be terminated by detonation.
Nicky726 avatar 11.9.2009 09:46 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Co jsem zkoušel poslední dvě Fedory, tak jsem na problém s SELinuxem nenarazil. SELinux tam je velmi dobře integrovaný, uživatel o tom v podstatě ani neví a přitom je chráněný. Podle mě ideální stav. Rozchodit SELinux bez nějaké větší podpory distribuce je jaksi vyšší dívčí. A to jak v Archu, tak třeba v Ubuntu (alespoň ve verzi co jsem zkoušel).
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
11.9.2009 21:44 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
uživatel o tom v podstatě ani neví a přitom je chráněný
Pokud se to nezměnilo, tak implicitně máte jako uživatel identitu unconfined_u, což zas taková ochrana není. Je ale poměrně jednoduché se toho zbavit.
Rozchodit SELinux bez nějaké větší podpory distribuce je jaksi vyšší dívčí.
Jeden z dílů chci věnovat i tomuto tématu.
In Ada the typical infinite loop would normally be terminated by detonation.
Nicky726 avatar 12.9.2009 01:34 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Uživatel je unconfined_u, ale mnoho procesů je hezky zavřených ve svém chlívečku. Ano, GUI aplikací minimum, ale většina daemonů například chráněna je, stejně jako dost věcí kolem roota. Rozsah škod, které lze po proniknutí zvenčí napáchat, by to mělo afaik snižovat.
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
14.9.2009 08:50 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
No ale neměl by být problém se "degradovat" na user_u nebo něco takového. Asi si to napíšu jako téma na jeden díl :)
In Ada the typical infinite loop would normally be terminated by detonation.
10.9.2009 16:30 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Odpovědět | Sbalit | Link | Blokovat | Admin
A dostane se někdy na mcs, nebo mls politiku?
10.9.2009 16:47 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Dostane, ale až tak za 2-3 díly.
In Ada the typical infinite loop would normally be terminated by detonation.
Nicky726 avatar 10.9.2009 20:01 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Odpovědět | Sbalit | Link | Blokovat | Admin
Čím dál zajímavější, jen tak dál.
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
14.9.2009 17:10 cgi
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Odpovědět | Sbalit | Link | Blokovat | Admin

k SELinuxu: Cheddar Bay Exploit...

michich avatar 14.9.2009 17:47 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
Chyba s nerespektováním mmap_min_addr byla opravena a nyní je možno se zapnutým SELinuxem dokonce i povolovat mapování dolní paměti selektivně pro typy, které to vyžadují. Je to i v dnešních Jaderných novinách.
15.9.2009 19:56 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)
A co tím chcete říct?
In Ada the typical infinite loop would normally be terminated by detonation.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.