Nebojte se SELinuxu – 4 (reference policy) (diskuse)

Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Vývoj webového prohlížeče Ladybird (05/2025)

včera 19:33 | Komunita

Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za květen (YouTube).

Ladislav Hagara | Komentářů: 0

Zranitelnosti CVE-2025-5054 v Apport a CVE-2025-4598 v systemd-coredump

včera 12:11 | Bezpečnostní upozornění

Byly publikovány informace (txt) o zranitelnostech CVE-2025-5054 v Apport a CVE-2025-4598 v systemd-coredump. Lokální uživatel se může dostat k výpisu paměti programu (core dump) s SUID a přečíst si tak například /etc/shadow.

Ladislav Hagara | Komentářů: 0

Hardwarový a softwarový průzkum Steamu - 05/2025

včera 11:11 | IT novinky

Společnost Valve aktualizovala přehled o hardwarovém a softwarovém vybavení uživatelů služby Steam. Podíl uživatelů Linuxu aktuálně činí 2,69 %. Nejčastěji používané linuxové distribuce jsou Arch Linux, Linux Mint a Ubuntu. Při výběru jenom Linuxu vede SteamOS Holo s 30,95 %. Procesor AMD používá 68,77 % hráčů na Linuxu.

Ladislav Hagara | Komentářů: 3

Veusz 4.0

1.6. 23:22 | Nová verze

Byla vydána verze 4.0 open source programu na kreslení grafů Veusz (Wikipedie). Přehled novinek v poznámkách k vydání. Proběhla portace na Qt 6.

Ladislav Hagara | Komentářů: 0

Dibuja 0.26.0

1.6. 11:44 | Nová verze

Dibuja je jednoduchý kreslící program inspirovaný programy Paintbrush pro macOS a Malování pro Windows. Vydána byla verze 0.26.0.

Ladislav Hagara | Komentářů: 0

DietPi 9.13

31.5. 23:33 | Nová verze

Byla vydána nová verze 9.13 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Týden v GNOME a Týden v KDE Plasma (30. a 31. května 2025)

31.5. 21:44 | Komunita

Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

Ladislav Hagara | Komentářů: 0

Alpine Linux 3.22.0

31.5. 16:33 | Nová verze

Byla vydána nová stabilní verze 3.22.0, tj. první z nové řady 3.22, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

FEL ČVUT vyvinula robotickou stavebnici pro mladé programátory

30.5. 00:33 | IT novinky

FEL ČVUT vyvinula robotickou stavebnici pro mladé programátory. Stavebnice Brian byla navržená speciálně pro potřeby populární Robosoutěže. Jde ale také o samostatný produkt, který si může koupit každý fanoušek robotiky a programování od 10 let, ideální je i pro střední školy jako výuková pomůcka. Jádro stavebnice tvoří programovatelná řídicí jednotka, kterou vyvinul tým z FEL ČVUT ve spolupráci s průmyslovými partnery. Stavebnici

… více »

Ladislav Hagara | Komentářů: 66

Ubuntu bude pro testování nových verzí vydávat měsíční snapshoty

29.5. 20:33 | Komunita

Ubuntu bude pro testování nových verzí vydávat měsíční snapshoty. Dnes vyšel 1. snapshot Ubuntu 25.10 (Questing Quokka).

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (55%)

python (33%)

perl (7%)

powershell (2%)

batch (0%)

vbscript (1%)

jiný, uvedu v diskusi (3%)

Celkem 181 hlasů

Komentářů: 14, poslední včera 08:30

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Články / Nebojte se SELinuxu – 4 (reference policy) / Nebojte se SELinuxu – 4 (reference policy) (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (0) ?

Diskuse byla administrátory uzamčena.

10.9.2009 08:49 alblaho | skóre: 17 | blog: alblog
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Celý tenhle systém byl pravděpodobně zčásti vymyšlen proto, aby si admini mohli říct o víc peněz. Budou zasloužené :-)

. Ještě že se živím programováním.

10.9.2009 11:06 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Po tomto diele sa fakt už SElinuxu bojím :)

KERNEL ULTRAS video channel >>>

10.9.2009 14:23 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Proč to? Sice to není tak jednoduché jako "nainstalujte si e-shop v pěti jednoduchých krocích" (a ani nemůže být, protože tu jde o bezpečnost), ale zas to není o nic náročnější než se naučit například to programování.

In Ada the typical infinite loop would normally be terminated by detonation.

10.9.2009 21:32 TM
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Právě proto, že jde o bezpečnost je to v tomto stavu spíš nebezpečné. 99% administrátorů SE Linux prostě vypne, protože co bývá zdrojem záhadných problémů? Právě špatné nastavení SE Linuxu. Co ty problémy mávnutím kouzelného proutku odstraní? Vypnutí SE Linuxu. Takto se na to lidi často dívají a moc se tomu nedivím. Míra zbytečné komplikovanosti a nesrozumitelnosti v tomto případě byla překročena.

11.9.2009 07:08 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

99% uživatelů windows pracuje pod administrátorem, protože co bývá zdrojem záhadných problémů?

Vy nemusíte být takový ignorant jako těch Vašich 99%... jděte a nainstalujte si to, vykoušejte si to a pak vynášejte soudy. Pokud Vám něco nebude fungovat, tak se zeptejte.

In Ada the typical infinite loop would normally be terminated by detonation.

11.9.2009 07:48 alblaho | skóre: 17 | blog: alblog
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Většina Wokeníků pracuje pod administrátorem, protože je to jednodušší. Fungují i špatně napsané aplikace (jsou takové ještě), systém vás nebuzeruje že na to a to nemáte oprávnění.

Nedovedu si představit, že bych spravoval SELinux, protože nikdy nebudu mít tak přesné informace o vnitřnostech systému, abych věděl kdo k čemu kdy přistupuje. Špičkový profesionální admin, to je pochopitelně jiná liga.

Druhá možnost je, že celou konfiguraci připraví distributor, takže běžný uživatel o SELinuxu vůbec nemusí vědět. V práci máme jeden RHEL5 a SELinuxu ničemu nevadí, je neviditelný (ale ten stroj jsem neinstaloval, takže nevím, co se tam řešilo).

11.9.2009 08:05 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Většina Wokeníků pracuje pod administrátorem, protože je to jednodušší. Fungují i špatně napsané aplikace (jsou takové ještě), systém vás nebuzeruje že na to a to nemáte oprávnění.

Pochopitelně je vždy jednodušší se bezpečnosti vzdát, než ji navrhnout dobře, a bohužel jsou i případy, kde platí, že žádné zabezpečení je lepší, než špatné. Mimochodem systém bezpečnosti ve Windows NT je metodicky mnohem propracovanější, než ten v UNIXu (ale zase ne tak dobrý jako v SELinuxu, protože stále patří do kategorie DAC, tedy až na ten pokus s UAC ve vistě).

Nedovedu si představit, že bych spravoval SELinux, protože nikdy nebudu mít tak přesné informace o vnitřnostech systému, abych věděl kdo k čemu kdy přistupuje. Špičkový profesionální admin, to je pochopitelně jiná liga.

To je samozřejmě přípustný postoj, narozdíl od ignorance typu "je to moc složité, tak to radši hned vypnu". Bohužel v bezpečnosti je to tak, že čím víc chcete zabezpečovat, tim víc musíte znát jednotlivé procesy, které zabezpečujete. A procesama v operačním systému to jen začíná.

A můžete taky dojít k závěru, že tuto úroveň zabezpečení pro svoje procesy nepotřebujete. Každopádně bych ale doporučil všem těm adminům typu "mám tři weby a poštovní server a pár kamarádů přes ssh", aby se alespoň zkusili podívat na defaultní nastavení targeted politiky pro SELinux (viz níže), která přesně tento případ adresuje.

Druhá možnost je, že celou konfiguraci připraví distributor, takže běžný uživatel o SELinuxu vůbec nemusí vědět. V práci máme jeden RHEL5 a SELinuxu ničemu nevadí, je neviditelný (ale ten stroj jsem neinstaloval, takže nevím, co se tam řešilo).

Připraví to distributor a administrátor, takže uživatel neví o SELinuxu, ale už ví o personální politice která by měla být spjatá s tou počítačovou (např.: heslo si udělej jen jedno, ale dlouhý, nebo: tady máš přístupovou kartu, nenechávej ji na stole).

Pokud máte RHEL5 tak IMHO používáte "targeted" politiku, kde jsou omezeny alespoň služby s přístupem na síť (web server, ...), ale už ne uživatelé, kteří se přihlašují. Nebo ji nemáte a pak máte buď schopného administrátora, a nebo zapracovaly Vaše peníze za subskripci RHEL. :)

In Ada the typical infinite loop would normally be terminated by detonation.

11.9.2009 09:46 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Co jsem zkoušel poslední dvě Fedory, tak jsem na problém s SELinuxem nenarazil. SELinux tam je velmi dobře integrovaný, uživatel o tom v podstatě ani neví a přitom je chráněný. Podle mě ideální stav. Rozchodit SELinux bez nějaké větší podpory distribuce je jaksi vyšší dívčí. A to jak v Archu, tak třeba v Ubuntu (alespoň ve verzi co jsem zkoušel).

Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)

11.9.2009 21:44 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

uživatel o tom v podstatě ani neví a přitom je chráněný

Pokud se to nezměnilo, tak implicitně máte jako uživatel identitu unconfined_u, což zas taková ochrana není. Je ale poměrně jednoduché se toho zbavit.

Rozchodit SELinux bez nějaké větší podpory distribuce je jaksi vyšší dívčí.

Jeden z dílů chci věnovat i tomuto tématu.

In Ada the typical infinite loop would normally be terminated by detonation.

12.9.2009 01:34 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Uživatel je unconfined_u, ale mnoho procesů je hezky zavřených ve svém chlívečku. Ano, GUI aplikací minimum, ale většina daemonů například chráněna je, stejně jako dost věcí kolem roota. Rozsah škod, které lze po proniknutí zvenčí napáchat, by to mělo afaik snižovat.

Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)

14.9.2009 08:50 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

No ale neměl by být problém se "degradovat" na user_u nebo něco takového. Asi si to napíšu jako téma na jeden díl :)

In Ada the typical infinite loop would normally be terminated by detonation.

10.9.2009 16:30 filbar | skóre: 36 | blog: Denicek_programatora | Ostrava
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

A dostane se někdy na mcs, nebo mls politiku?

10.9.2009 16:47 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Dostane, ale až tak za 2-3 díly.

In Ada the typical infinite loop would normally be terminated by detonation.

10.9.2009 20:01 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Čím dál zajímavější, jen tak dál.

Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)

14.9.2009 17:10 cgi
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

k SELinuxu: Cheddar Bay Exploit...

14.9.2009 17:47 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

Chyba s nerespektováním mmap_min_addr byla opravena a nyní je možno se zapnutým SELinuxem dokonce i povolovat mapování dolní paměti selektivně pro typy, které to vyžadují. Je to i v dnešních Jaderných novinách.

15.9.2009 19:56 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 4 (reference policy)

A co tím chcete říct?

In Ada the typical infinite loop would normally be terminated by detonation.

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje