Portál AbcLinuxu, 28. července 2025 11:17
5.6.2011 15:40
Kamil Páral | skóre: 13
| blog: Kamil Páral
| Brno
Opravdu nic nového neříká? Já si třeba myslel, že SELinux zpomaluje dost. (Ale ocenil bych, kdyby tam otestovali i rychlost bootu systému.)
5.6.2011 15:58
michich | skóre: 51
| blog: ohrivane_parky
selabel_open(), která bude doufám brzo opravena (RHBZ#709014).
5.6.2011 19:07
Tomáš Bžatek | skóre: 29
| Brno
6.6.2011 13:11
cezz | skóre: 24
| blog: dm6
7.6.2011 13:51
cezz | skóre: 24
| blog: dm6
Pravda, neprevadzkujem systemy, kde spustam kod tretich stran ktoremu nemozem doverovat a tak podobne.Chodíte na web, se zapnutým javascriptem, flashem, a podobně?
7.6.2011 19:00
cezz | skóre: 24
| blog: dm6
To samozrejme chodim, ale neviem si predstavit, ako by som obmedzil napriklad takemu Firefoxu pristup k comukolvek, aby to malo nejaky ucinok a zaroven ma neobmedzovalo v praci. Tym kodom tretich stran som myslel napr. PHP kod, ktory neuploadujem ja sam a podobne. Aby to tak nevyznelo, ze si myslim, ze SELinux je zbytocny. Ja chapem, ze to ludia potrebuju, len si nemyslim, ze medzi nich patrim. `urcite by to o malicko bezpecnost zvysilo aj u mna, ale nie je to worth the trouble.Pravda, neprevadzkujem systemy, kde spustam kod tretich stran ktoremu nemozem doverovat a tak podobne.Chodíte na web, se zapnutým javascriptem, flashem, a podobně?
To samozrejme chodim, ale neviem si predstavit, ako by som obmedzil napriklad takemu Firefoxu pristup k comukolvek, aby to malo nejaky ucinok a zaroven ma neobmedzovalo v praci.Tak např. se asi shodneme, že přístup firefoxu k soukromým klíčům pro ssh je nežádoucí.
9.6.2011 17:37
cezz | skóre: 24
| blog: dm6
Tak např. se asi shodneme, že přístup firefoxu k soukromým klíčům pro ssh je nežádoucí.Povedzme ze ano, vo vacsine pripadov - nech uz su tie kluce ulozene kdekolvek. Problem je, ze takych suborov a pristupov je neskutocne vela. Je tazke (alebo skor nemozne) osetrit vsetky taketo pripady a priliz uzke obmedzenia by ma asi brzdili v praci. Aktualny a pravidelne updatovany Firefox mi pride ako lepsie riesenie co sa pomeru cena/vykon tyka.
Problem je, ze takych suborov a pristupov je neskutocne vela. Je tazke (alebo skor nemozne) osetrit vsetky taketo pripady a priliz uzke obmedzenia by ma asi brzdili v praci.Proto se používá princip "co není povoleno je zakázáno" a pokud je povolení hodně tak se hledají cesty jak to zjednodušit.
Aktualny a pravidelne updatovany Firefox mi pride ako lepsie riesenie co sa pomeru cena/vykon tyka.Bohužel tohle není principielně dobré řešení protože updaty budou vždy o krok (nebo dva) pozadu. Proto jsou řešení typu selinux, apparmor, uac, které předpokládají děravý browser a snaží se omezit dopad na okolí.
10.6.2011 17:22
cezz | skóre: 24
| blog: dm6
Proto se používá princip "co není povoleno je zakázáno" a pokud je povolení hodně tak se hledají cesty jak to zjednodušit.To samozrejme viem, problem je, ze Firefox tak IMHO obmedzit nejde. Resp. ide, ale pouzivat by som to nechcel..
Bohužel tohle není principielně dobré řešení protože updaty budou vždy o krok (nebo dva) pozadu. Proto jsou řešení typu selinux, apparmor, uac, které předpokládají děravý browser a snaží se omezit dopad na okolí.Podla mna je to otazkou priorit. Mne osobne to za tie komplikacie nestoji, povazujem v tomto smere Firefox za dostatocne bezpecny.
problem je, ze Firefox tak IMHO obmedzit nejdeJá myslím že defaultní politika v selinuxu, apparmoru i nastavení UAC ve windows je v tomto směru postačující. Funguje to out of the box, a zabrání to nejhoršímu.
11.6.2011 11:56
cezz | skóre: 24
| blog: dm6
Moja skusenost na desktope je taka, ze od vypnutia selinuxu v podstate nemam problem.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
6.6.2011 08:57
6.6.2011 15:12