Nebojte se SELinuxu – 6 (MLS a MCS) (diskuse)

Přihlášení | Registrace

napište » Zprávičky

24.5. 22:45 | IT novinky

NASA, která společně s Rackspace stála u zrodu projektu OpenStack, se již nadále nebude podílet na dalším vývoji této "infrastructure-as-a-service" platformy. V NASA totiž došli k závěru, že vzhledem k podpoře OpenStacku ze strany společností jako Red Hat, AT&T a HP lze jejich práci považovat za dokončenou. Posléze se NASA plánuje stáhnout i z vývoje další platformy pro cloud computing jménem Nebula.

Migilenik | Komentářů: 0

Kniha IPv6 se slevou 66 procent pouze na IPv6 Day

24.5. 22:45 | Upozornění

Blíží se svátek IPv6 a s ním i konference IPv6 Day. Na návštěvníky této akce čeká nejen bohatý program, ale také jedna speciální nabídka – v průběhu setkání bude možné získat se slevou 66 procent třetí vydání knihy IPv6 vysokoškolského pedagoga a publicisty Pavla Satrapy, tedy za 105 korun. … více »

Vilem Sladek | Komentářů: 4

Python/Django sprint v Praze 5. 6.

24.5. 16:14 | Pozvánky

Přijďte si zasprintovat na Djangu, jiném Python open-source projektu, nebo jen potkat ostatní vývojáře!

… více »

Whit | Komentářů: 0

Mageia 2

24.5. 10:20 | Nová verze

Na zrcadlech a torrentech jsou již k dispozici ISO obrazy distribuce Mageia 2. Poznámky k vydání čtěte zde.

Liborek | Komentářů: 14

Oznámen termín nové konference LinuxDays spolu s konferencí openSUSE a Gentoo

23.5. 13:47 | Pozvánky

Letos v říjnu se v Praze uskuteční hned několik konferencí. Odehraje se zde nově vzniklá konference LinuxDays. K ní se přidá čtvrtý ročník openSUSE Conference, dvanáctý ročník SUSE Labs conference a aby to nebylo málo, přidá se i první ročník Gentoo miniconf. A to vše ve stejné dny a na stejném místě.

… více »

Miška | Komentářů: 7

printerd - tiskový démon nad D-Busem

23.5. 13:27 | Zajímavý projekt

Printerd je název nového projektu tiskového démona, který bude využívat PolicyKit a D-Bus. Projekt je zatím na úplném začátku, takže nejde o nic vhodného k produkčnímu nasazení. Mimo jiné aktuálně akceptuje jako vstup jen PDF dokumenty.

Luboš Doležel (Doli) | Komentářů: 56

Red Hat přijal trojici vývojářů JRuby

23.5. 13:25 | Zajímavý software

Tři vývojáři ze společnosti Engine Yard přecházejí po dohodě mezi firmami do Red Hatu. Jde o vývojáře zabývající se rozvojem projektu JRuby. To ukazuje, že Red Hat má zájem o podporu alternativních jazyků nad OpenJDK.

Luboš Doležel (Doli) | Komentářů: 1

libusbx, fork libusb, se dostane do Fedory

23.5. 13:20 | Zajímavý software

Fedora přejde na knihovnu libusbx, což je fork původní knihovny libusb. Důvodem pro fork byl zjevný nedostatek času nebo zájmu ze strany správce projektu. libusbx už teď nabízí užitečné funkce navrch.

Luboš Doležel (Doli) | Komentářů: 4

LLVM 3.1

23.5. 10:29 | Nová verze

Vyšlo LLVM 3.1. Vylepšení se dotýkají podpory C++ 11 nebo architektur ARM a MIPS. Dále se můžete těšit z Python bindings nebo nástroje AddressSanitizer pro detekci chyb při práci s pamětí.

Luboš Doležel (Doli) | Komentářů: 0

ownCloud 4

23.5. 00:01 | Nová verze

Vyšla nová verze open source služby pro sdílení a synchronizaci souborů ownCloud 4. Mezi hlavní novinky patří verzování, šifrování dat, vestavěný prohlížeč ODF souborů, nové API a další - podrobnější popis novinek a vylepšení zde.

Dirka | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Pokud by se prohlížeč Opera stal svobodným:

Začal(a) bych ji používat (9%)

Stále bych ji používal(a) (32%)

Přestal(a) bych ji používat (1%)

Ani tak bych ji nepoužíval(a) (58%)

Celkem 247 hlasů

Komentářů: 31, poslední včera 22:38

Pracovní nabídky

Rozcestník

AbcLinuxu

HDmag.cz

Reklama

Autoškola testy online Levný benzín

AbcLinuxu:/ Články / Nebojte se SELinuxu – 6 (MLS a MCS) / Nebojte se SELinuxu – 6 (MLS a MCS) (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (0) ?

Vložit další komentář

27.10.2009 08:37 Bedňa | skóre: 24 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 6 (MLS a MCS)

Odpovědět | Sbalit | Link | Blokovat | Admin

Každý diel si rád prečítam, ale vždy zabudnem to čo bolo v minulom :-)

Ako dlho si sa to učil a stretol si sa už z niekym iným čo by mal SELinux na servery bojím sa povedať desktope :-)

Ale aj tak je to zaujímavé, raz sa to môže hodiť.

¯¯\(ツ)/¯¯ Linux Online http://www.kernelultras.org/

27.10.2009 10:47 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 6 (MLS a MCS)

Setkal, proto jsem se rozhodl se to naučit. Zabralo asi 1 až 2 týdny než jsem se dostal z nuly k systému, který byl použitelný jako server. Odtud pak už vede cesta tudy, kudy si zvolíte. Pokud se to chcete opravdu naučit, doporučuju vzít nějakou distribuci a zkusit si ji nainstalovat do virtuálu a trochu si s tím pohrát.

Fedora je příklad toho, že SELinux může fungovat i na desktopu (případně hardened gentoo a hardened ubuntu). Mluvit s lidma, kteří SELinux aktivně používají, případně vyvíjejí můžete na freenode #selinux.

In Ada the typical infinite loop would normally be terminated by detonation.

27.10.2009 08:41 Zdenek
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 6 (MLS a MCS)

Odpovědět | Sbalit | Link | Blokovat | Admin

Proč bych se měl bát něčeho, co nepotřebuji a co nepoužívám?

27.10.2009 11:57 alkoholik | skóre: 21 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 6 (MLS a MCS)

Protoze jisty pan Murphy rika, ze cim vic se necemu vyhybate, tim drive a silneji na to narazite.

27.10.2009 20:07 sombreroTX
Rozbalit Rozbalit vše bojim bojim

Odpovědět | Sbalit | Link | Blokovat | Admin

Jak to tak sleduji, tak jsem fakt rád za Solarisí TX, je to nesrovnatelne jednodussi, prehlednejsi a dovolim si tvrdit i bezpecnejsi, nejen kvuli implicitní izolaci zón, ale linux je zkrátka bastl, nevěřím tomu, a ještě se s tím takhle srát. Pokud se jedná o nějakou secure architekturu/deployment, tak bych se ani neodvažoval slovo Linux vypustit z úst :)

Autore, znáš TX? Co na to říkáš? (Používají to v US Army :) )

27.10.2009 20:21 Bedňa | skóre: 24 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: bojim bojim

somarobreroTX ukáž kde máš ty nasadené tvoje riešenie v super ultra kua bezpečnom Solarise nech Ti ho dáme dole :-)

¯¯\(ツ)/¯¯ Linux Online http://www.kernelultras.org/

27.10.2009 20:47 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: bojim bojim

Máte pro takové tvrzení nějaká faktická oddůvodnění, nebo jste jen ukojen pocitem bezpečnosti z něčeho, do čeho sice moc nevidíte, ale tváří se to důvěryhodně?

In Ada the typical infinite loop would normally be terminated by detonation.

28.10.2009 23:26 snehuliak
Rozbalit Rozbalit vše a co RSBAC?

SElinux pouzivam aj ked vacsinou nechavam default nastavenia ktore su vo Fedore/CENT OS a do hlbky som sa este nedostal, ale hadam sa mi to vdaka tomuto serialu podari. Chcel by som sa autora clanku spytat na nazor na RSBAC (www.rsbac.org). Bol vytvoreny skor ako SElinux, ale nikdy nebol zaradeny priamo do kernelu (ak tomu dobre chapem tak z dovodu poklesu vykonnosti). Ak teda poznate aj RSBAC - aky je vas nazor na neho? Pripadne v com je vyhoda SElinuxu (okrem toho ze je v kerneli)?

29.10.2009 08:11 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: a co RSBAC?

RSBAC jsem nikdy nepoužíval (tj. neznám). Podle informací z jejich webu to může být užitečné, ale taky ne úplně bezbolestné. Vzhledem ke komentářům na stranu LSM se nedivím, že se do jádra nedostal. Ale to nevadí, spousta jiných dobrých věcí v jádře není nebo dlouho nebyla.

Obecná výhoda SELinuxu je v jeho možnostech. Vhodnou konfigurací jste schopen dosáhnout opravdu velmi různorodé nastavení. Hodně lidem to může vadit, ale bohužel zabezpečení počítačů nejde nakupovat na kila v krabicích.

In Ada the typical infinite loop would normally be terminated by detonation.

29.10.2009 08:02 TM
Rozbalit Rozbalit vše Re: bojim bojim

Linux jako takový dnes bastl určitě není a troufám si po dlouholeté praxi říci, že proti Solarisu má dnes řadu výhod. Ovšem co se týče SE Linuxu, to je vskutku pozoruhodný příklad toho, jak se dají věci z těžko pochopitelných důvodů uměle zkomplikovat a zamotat - zlaté řešení, používané na Solarisu a zlatý AppArmor, který, nevím proč, umírá. :-(

SE Linux má výhodu v tom, že vám dá pocit úspěšného zdolání překážky. Nesmíte ale řešit, kolik drahocenného času to stálo, protože pak máte vedle rozšířené bezpečnosti na Solarisu pocit provinění. :-)

29.10.2009 08:16 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: bojim bojim

SELinux není komplikovaný ani zamotaný. Jenom Vás staví do pozice kde musíte rozumět všemu co se v systému děje. Překážka, kterou pak překonáváte je spíše tahle. Apparmor umírá, protože při své jednoduchosti nebyl schopen uživatelům dodat, co se po něm žádalo a pokročilí uživatelé narazili na zeď.

In Ada the typical infinite loop would normally be terminated by detonation.

29.10.2009 21:04 TM
Rozbalit Rozbalit vše Re: bojim bojim

To ani ne. Problém není v tom rozumět co se v systému děje. Unixoví administrátoři z praxe nejsou takoví blbci, jak si možná myslíte. Největší překážkou je těžko zapamatovatelná změť příkazů, scriptů... a jejich parametrů, pro nováčka zpočátku kryptické výstupy, poněkud zmatená dokumentace atd.
Prostě ten frontend, to je IMHO tragédie. Odpusťte si prosím povýšené poznámky o jakýchsi klikačích, to je pod vaši úroveň.

29.10.2009 21:40 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: bojim bojim

Unixoví administrátoři z praxe nejsou takoví blbci, jak si možná myslíte.

Nevím jestli jste to dobře pochopil, jde o znalost nejen obecných principů, ale i chování konkrétního software na konkrétní distribuci. Kde má uložen apache nebo named konfiguráky, co všechno potřebuje číst, kde jsou init skripty a co všechno spouští, jak se chová hotplug, jaký konkrétní syslog/MTA se používá, jaké všechny NSS/PAM moduly jsou aktivní, ... všechno tohle při psaní politiky může být podstatné.

Největší překážkou je těžko zapamatovatelná změť příkazů, scriptů... a jejich parametrů, pro nováčka zpočátku kryptické výstupy, poněkud zmatená dokumentace atd.

Tak to nevím zase já o čem mluvíte. Takhle se chovají obecně všechny unixové příkazy a těch 5 nebo kolik pro administraci SELinuxu se ničím neliší.