Nebojte se SELinuxu – 6 (MLS a MCS) (diskuse)

AbcLinuxu:/ Články / Nebojte se SELinuxu – 6 (MLS a MCS) / Nebojte se SELinuxu – 6 (MLS a MCS) (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (0) ?

Diskuse byla administrátory uzamčena.

27.10.2009 08:37 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 6 (MLS a MCS)

Každý diel si rád prečítam, ale vždy zabudnem to čo bolo v minulom :-)

Ako dlho si sa to učil a stretol si sa už z niekym iným čo by mal SELinux na servery bojím sa povedať desktope :-)

Ale aj tak je to zaujímavé, raz sa to môže hodiť.

KERNEL ULTRAS video channel >>>

27.10.2009 10:47 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 6 (MLS a MCS)

Setkal, proto jsem se rozhodl se to naučit. Zabralo asi 1 až 2 týdny než jsem se dostal z nuly k systému, který byl použitelný jako server. Odtud pak už vede cesta tudy, kudy si zvolíte. Pokud se to chcete opravdu naučit, doporučuju vzít nějakou distribuci a zkusit si ji nainstalovat do virtuálu a trochu si s tím pohrát.

Fedora je příklad toho, že SELinux může fungovat i na desktopu (případně hardened gentoo a hardened ubuntu). Mluvit s lidma, kteří SELinux aktivně používají, případně vyvíjejí můžete na freenode #selinux.

In Ada the typical infinite loop would normally be terminated by detonation.

27.10.2009 08:41 Zdenek
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 6 (MLS a MCS)

Proč bych se měl bát něčeho, co nepotřebuji a co nepoužívám?

27.10.2009 11:57 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Nebojte se SELinuxu – 6 (MLS a MCS)

Protoze jisty pan Murphy rika, ze cim vic se necemu vyhybate, tim drive a silneji na to narazite.

27.10.2009 20:07 sombreroTX
Rozbalit Rozbalit vše bojim bojim

Jak to tak sleduji, tak jsem fakt rád za Solarisí TX, je to nesrovnatelne jednodussi, prehlednejsi a dovolim si tvrdit i bezpecnejsi, nejen kvuli implicitní izolaci zón, ale linux je zkrátka bastl, nevěřím tomu, a ještě se s tím takhle srát. Pokud se jedná o nějakou secure architekturu/deployment, tak bych se ani neodvažoval slovo Linux vypustit z úst :)

Autore, znáš TX? Co na to říkáš? (Používají to v US Army :) )

27.10.2009 20:21 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: bojim bojim

somarobreroTX ukáž kde máš ty nasadené tvoje riešenie v super ultra kua bezpečnom Solarise nech Ti ho dáme dole :-)

KERNEL ULTRAS video channel >>>

27.10.2009 20:47 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: bojim bojim

Máte pro takové tvrzení nějaká faktická oddůvodnění, nebo jste jen ukojen pocitem bezpečnosti z něčeho, do čeho sice moc nevidíte, ale tváří se to důvěryhodně?

In Ada the typical infinite loop would normally be terminated by detonation.

28.10.2009 23:26 snehuliak
Rozbalit Rozbalit vše a co RSBAC?

SElinux pouzivam aj ked vacsinou nechavam default nastavenia ktore su vo Fedore/CENT OS a do hlbky som sa este nedostal, ale hadam sa mi to vdaka tomuto serialu podari. Chcel by som sa autora clanku spytat na nazor na RSBAC (www.rsbac.org). Bol vytvoreny skor ako SElinux, ale nikdy nebol zaradeny priamo do kernelu (ak tomu dobre chapem tak z dovodu poklesu vykonnosti). Ak teda poznate aj RSBAC - aky je vas nazor na neho? Pripadne v com je vyhoda SElinuxu (okrem toho ze je v kerneli)?

29.10.2009 08:11 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: a co RSBAC?

RSBAC jsem nikdy nepoužíval (tj. neznám). Podle informací z jejich webu to může být užitečné, ale taky ne úplně bezbolestné. Vzhledem ke komentářům na stranu LSM se nedivím, že se do jádra nedostal. Ale to nevadí, spousta jiných dobrých věcí v jádře není nebo dlouho nebyla.

Obecná výhoda SELinuxu je v jeho možnostech. Vhodnou konfigurací jste schopen dosáhnout opravdu velmi různorodé nastavení. Hodně lidem to může vadit, ale bohužel zabezpečení počítačů nejde nakupovat na kila v krabicích.

In Ada the typical infinite loop would normally be terminated by detonation.

29.10.2009 08:02 TM
Rozbalit Rozbalit vše Re: bojim bojim

Linux jako takový dnes bastl určitě není a troufám si po dlouholeté praxi říci, že proti Solarisu má dnes řadu výhod. Ovšem co se týče SE Linuxu, to je vskutku pozoruhodný příklad toho, jak se dají věci z těžko pochopitelných důvodů uměle zkomplikovat a zamotat - zlaté řešení, používané na Solarisu a zlatý AppArmor, který, nevím proč, umírá. :-(

SE Linux má výhodu v tom, že vám dá pocit úspěšného zdolání překážky. Nesmíte ale řešit, kolik drahocenného času to stálo, protože pak máte vedle rozšířené bezpečnosti na Solarisu pocit provinění. :-)

29.10.2009 08:16 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: bojim bojim

SELinux není komplikovaný ani zamotaný. Jenom Vás staví do pozice kde musíte rozumět všemu co se v systému děje. Překážka, kterou pak překonáváte je spíše tahle. Apparmor umírá, protože při své jednoduchosti nebyl schopen uživatelům dodat, co se po něm žádalo a pokročilí uživatelé narazili na zeď.

In Ada the typical infinite loop would normally be terminated by detonation.

29.10.2009 21:04 TM
Rozbalit Rozbalit vše Re: bojim bojim

To ani ne. Problém není v tom rozumět co se v systému děje. Unixoví administrátoři z praxe nejsou takoví blbci, jak si možná myslíte. Největší překážkou je těžko zapamatovatelná změť příkazů, scriptů... a jejich parametrů, pro nováčka zpočátku kryptické výstupy, poněkud zmatená dokumentace atd.
Prostě ten frontend, to je IMHO tragédie. Odpusťte si prosím povýšené poznámky o jakýchsi klikačích, to je pod vaši úroveň.

29.10.2009 21:40 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: bojim bojim

Unixoví administrátoři z praxe nejsou takoví blbci, jak si možná myslíte.

Nevím jestli jste to dobře pochopil, jde o znalost nejen obecných principů, ale i chování konkrétního software na konkrétní distribuci. Kde má uložen apache nebo named konfiguráky, co všechno potřebuje číst, kde jsou init skripty a co všechno spouští, jak se chová hotplug, jaký konkrétní syslog/MTA se používá, jaké všechny NSS/PAM moduly jsou aktivní, ... všechno tohle při psaní politiky může být podstatné.

Největší překážkou je těžko zapamatovatelná změť příkazů, scriptů... a jejich parametrů, pro nováčka zpočátku kryptické výstupy, poněkud zmatená dokumentace atd.

Tak to nevím zase já o čem mluvíte. Takhle se chovají obecně všechny unixové příkazy a těch 5 nebo kolik pro administraci SELinuxu se ničím neliší.

Odpusťte si prosím povýšené poznámky o jakýchsi klikačích, to je pod vaši úroveň.

Nevzpomínám si, že bych nějaké měl.

BTW, téma článku je MLS a jeho pořadové číslo je ⑥. Oceňuji Váš "zájem" o SELinux, ale debatu "SELinux ano nebo ne" bych očekával někde v jedničce.

In Ada the typical infinite loop would normally be terminated by detonation.

Tiskni Sdílej: