Úvod do SELinuxu plný obrázků (diskuse)

Obavam se, ze ani obrazky to moc nevylepsili :(. Snaha se ceni, ale ten system je proste spatne pochopitelny.

14.11.2013 10:29 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

principy jsou děsně jednoduchý, jen si to nesmíš nechat vysvětlovat od Dana :-)

horší je to s věcma okolo, dobrat se vlastními silami, jak máš co podle Dana správně dělat, je prakticky nemožný, a jak jsou distra reálně zkonfigurovaný, to už je úplně na palici (dontaudit je zlo, zlo, zlo ...) :-/

14.11.2013 11:26 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

principy jsou děsně jednoduchý, jen si to nesmíš nechat vysvětlovat od Dana

Ale on vypada, ze se tak snazi :-D

Pokousim se alespon trochu rozumet vecem, co mi bezi v systemu a zrovna SELinux policies, kdyz koukam do jejich souboru, se zdaji byt nad me sily, musel bych tomu venovat mnohem mnohem vice casu.

Takze nejake intro jak jsou policies ve Fedore implementovany a jaka je zvolena filozofie za tim, by se hodily ...

A former Red Hat freeloader.

14.11.2013 12:40 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

principy jsou děsně jednoduchý, jen si to nesmíš nechat vysvětlovat od Dana
Ale on vypada, ze se tak snazi .

ale jo, Dan je nice guy, jenom žije v trošku jiném vesmíru ...

Pokousim se alespon trochu rozumet vecem, co mi bezi v systemu a zrovna SELinux policies, kdyz koukam do jejich souboru, se zdaji byt nad me sily, musel bych tomu venovat mnohem mnohem vice casu.
Takze nejake intro jak jsou policies ve Fedore implementovany a jaka je zvolena filozofie za tim, by se hodily ...

na tohle ovšem nemohu než se opakovat - "a jak jsou distra reálně zkonfigurovaný, to už je úplně na palici" :-p

14.11.2013 16:40 Pavel Stárek | skóre: 44 | blog: Tady bloguju já :-) | Kolín
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Dan je možná "nice guy", ale já si raději dám selinux=0 jako parametr kernelu a spím klidným spánkem a neděsím se, co by všechno nefungovalo, kdybych to nechal zapnuté :-D

Kdo chce, hledá způsob; kdo nechce, hledá důvod.

14.11.2013 17:49 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

co by všechno nefungovalo? Ono přes to, co píše kavol výš, už je defaultní politika dostatečně vychytaná na to, aby člověk na selinux nenarážel. Ba naopak, serverový systém bez selinuxu (nebo podobně silné MAC) mě přijde jako nezodpovědnost a to kvůli věcem jako je třeba tohle.

oVirt | SPICE

14.11.2013 18:01 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Presne tak. To ze mi bezi SELinux vetsinou poznam, kdy neco (a) zmrsim a (b) velmi zridka, kdyz se updatuje security policy.

V pripade (b), pokud je problem v SELinuxu, mam jako uzivatel zkusenost, ze Dan Walsh je responsivni - bugzilla, mail, irc - a snazi se veci resit.

A former Red Hat freeloader.

14.11.2013 21:11 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

SeLinux je množstvo ďalšieho deravého kódu naviac. Pred časom som na túto tému čítal pekný článok, bohužiaľ nezalinkoval som si ho.

KERNEL ULTRAS video channel >>>

14.11.2013 23:57 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Tak u tohoto kodu zatim v podstate nebyl objeven zadny exploit a jak pise Kavol nahore, zakladni mechanismus je prekvapive velmi jednoduchy.

Je to v podstate jen dalsi bezpecnostni vrstva, ktera kdyz selze, neudela veci horsi. SELinux bych prirovnal k bezpecnostnim prepazkam lodi, kdyz vam nekde udelaji diru, zatopy se jen jedena kompartment a ostatni zustanou nedotcene.

Mne hackli muj posledni debianni server - zapomnel jsem ho updatovat, moje blbost - pointa ale byla v tom, ze pokud bych mel system s aktivovanym SELinuxem, tak by se jim to nepovedlo. Tech exploitu, kde by SELinux pomohl, neni az tak malo.

A former Red Hat freeloader.

15.11.2013 08:54 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Pak je tento příspěvek značně zbytečný.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

15.11.2013 14:20 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Pak je tento příspěvek značně zbytečný.

Je dobré vedieť, že niečo čo obchádza s bezpečnosťou jadro nieje moc bezpečné. Poznám jedného hackra a ten povedal, že by to na server nikdy nesadil a podľa toho v akej komunite sa pohybuje, tak by som mu veril.

Aby si nemusel hľadať tak aj Wikipédia ti napovie.

KERNEL ULTRAS video channel >>>

15.11.2013 14:52 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

To jste pojmul ponekud sireji, genericky Linux Security Framework a SELinux jsou dve ruzne veci.

niečo čo obchádza s bezpečnosťou jadro nieje moc bezpečné.

Jak to obchazi bezpecnostni jadro, kdyz je to s DAC v serii, tedy:


Zadost -> klasicky DAC/ACL test -> LSM hook (a pak treba SELinux ci neco jineho) -> vykonani pozadavku.

Namitky ze strany neuspesnych kompetitoru SELinuxu, navic z cca roku 2007, kdy cast uz ani neni pravda, je nutne brat s odstupem.

Mate neco lepsiho?

A former Red Hat freeloader.

15.11.2013 15:23 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

The United States National Security Agency (NSA), the original primary developer of SELinux :)

Ja viem o tom fakt kulové, ale keď viem že Pavlix je dobrý v sieťarine a napíše "takto to je správne", tak mu verím. Rovnako ako tatkovi že je dobrý stolár, videl som jeho výrobky. Takže keď sa niekto pohybuje v podivných vodách "bezpečnosti" a viem, že vie, tak mu verím a nebudem sa učiť low level sieťarinu, stolárčinu a lámať servery. Teda rád by som to všetko vedel, ale to aj veľa iných vecí.

Ja viem dôkaz ako noha, keď budem na večer doma tak to skúsim pohľadať.

KERNEL ULTRAS video channel >>>

15.11.2013 16:15 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

S paranoidnimi kamarady je to nekdy slozite ;-)

Ja preziji, kdyz mi PC hackne NSA, ale kdyz to udela nejaky pitomy robot me nastve.

Security politika, pokud budete chtit jemnou kontrolu, bude vzdy slozita, staci se kouknout na mnoztvi hooku pro security moduly v systemu, ktere vam indikuji, co vse muzete kontrolovat. SELinux dava administratorovi na tim nejlepsi kontrolu z dostupnych systemu, cenou za to je pak slozitost.

Ja viem dôkaz ako noha, keď budem na večer doma tak to skúsim pohľadať.

Sem s nim, netajte to ve vasich undergroundovych kruzich ...

A former Red Hat freeloader.

16.11.2013 12:46 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Je ľahké byť paranoikom, keď po tebe idú ;-)

Pár hodín som hľadal, ale nech hľadáš hocijaké slovné spojenie so SeLinux, tak jediné výsledky sú, je bezpečný, používaj ho, asi ma chytá paranoja :-)

KERNEL ULTRAS video channel >>>

16.11.2013 23:39 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Je ľahké byť paranoikom, keď po tebe idú

Pár hodín som hľadal, ale nech hľadáš hocijaké slovné spojenie so SeLinux, tak jediné výsledky sú, je bezpečný,

Diky Bedna, tohle ocenuji. Pokud se implementuje rozumna policy, ktere vymezuje aplikacim a uzivatelum piskoviste, urcite to bezpecnost posily; administratori prece vedi, ze uzivatele i programatori jsou pitomci ;-)

A former Red Hat freeloader.

16.11.2013 22:25 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Ja preziji, kdyz mi PC hackne NSA, ale kdyz to udela nejaky pitomy robot me nastve.

Pokud bych to měl brát doslovně, tak pokud ti PC hackne NSA, tak to spíš nepřežiješ, než když ti ho hackne robot*.

*S vyjímkou Skynetu, který chvíli poté vyhladí lidstvo.

blog.rfox.eu | DREAMLAND

16.11.2013 23:40 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Tak hlavne pravdepodobnost, ze po me pujde NSA, je preci jenom mensi a kdyz uz, tak to heslo ze me dostanou jinak.

A former Red Hat freeloader.

16.11.2013 14:44 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Wikipedia mi moc nenapověděla, není tam žádná kritika, kterou bych u podobného subsystému už automaticky nečekal.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

16.11.2013 23:04 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Však to bol len názor o ktorom som ťa musel informovať :)

KERNEL ULTRAS video channel >>>

17.11.2013 13:32 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

OK :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

14.11.2013 19:54 kavol | skóre: 28
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

co by všechno nefungovalo? Ono přes to, co píše kavol výš,

to co píšu já výše ovšem nijak neimplikuje, že by programy neměly chodit ...

už je defaultní politika dostatečně vychytaná na to, aby člověk na selinux nenarážel.

no, a třeba tohle právě považuju za problém - ve spoustě případů se prostě přidá pravidlo, místo toho, aby se řešilo, jestli je nebo není takové povolení potřeba

případně existují pravidla (týká se především "booleanů"), která mají zajímavé vedlejší efekty ... jsem teď líný hledat, o který konkrétně případ šlo (tuším něco s YP; prokletí paměti na vazby, takřka antifotogenické :-(

), nicméně scénář byl zhruba takový, že mi nefungoval program A, zjišťuju, že jde o selinux, hlásím bug, dozvídám se, že je přece nad slunce jasné, že musím povolit boolean b, ovšem boolean b je pouze okrajově zmíněn u programu B (jmenná podobnost "b" s "B" není náhodná), a jeho souvislost s A nikde zdokumentována není, nehledě na to, že můžu chtít povolit A a zakázat B nebo naopak, ale boolean b holt ovládá oboje najednou

14.11.2013 21:00 msg5
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

V podstatě každá appka s webových interfacem (představ si třeba nástroj pro reset hesla v nějakém specifickém aplikačním prostředí), která typicky ke své práci potřebuje rozhled daleko za horizont httpd_t.

15.11.2013 00:05 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Vy si muzete upravit SELinux policy tak, aby vam aplikace fungovala a nastroje k tomu jsou celkem pouzitelne.

Prusvih je v tom, ze to neni az tak trivialni, lze to prirovnat k nauceni se noveho jazyka a nastudovani aplikace v nem napsane a ne kazdy to chce delat, a pak to radsi vypne. Spolehliva MAC nikdy nebude jednoducha a bude to fulltime job pro administraci.

Policies u Fedory jsou pomerne komplexni a chyby mi tam nejaky high level dokument.

Na stranu druhou, v soucasnosti snad zadna jina distrubuce, krome Fedory/RHEL, neni, minimalne na desktopu, tak bezproblemova se striktnim enforcement. Moje zkusenost je takova, ze u jinych distribuci enforcement prinasi problemy, ale to je pak chyba distribuce, jejich security policy a spravcu balicku.

A former Red Hat freeloader.

15.11.2013 08:57 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Moje zkusenost je takova, ze u jinych distribuci enforcement prinasi problemy, ale to je pak chyba distribuce, jejich security policy a spravcu balicku.

Jenže na Fedoře má správce balíčku možnost přehodit bug na selinux a řešit s nimi, co dál. Takový luxus si můžeš dovolit, jen pokud máš fulltime zaměstnance na selinux.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

15.11.2013 11:11 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Pro zacatek mohou zacit s nejakou mene restriktivni politikou a pak zacit postupne utahovat srouby. Pokud nebude distribuce vytvarena s tim, ze SELinux je v enforcement modu by default, nikam se to nehne. Pokusy o to se casto utopily spise v iracionalnich sporech, nezapominej, ze pred systemd byl prave SELinux oblibeny otloukanek.

A former Red Hat freeloader.

15.11.2013 11:14 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Pokusy o to se casto utopily spise v iracionalnich sporech, nezapominej, ze pred systemd byl prave SELinux oblibeny otloukanek.

Za to může historicky špatné nasazení selinuxu ve Fedoře. Ale narozdíl od systemd to šlo aspoň vypnout a tím získat původní (funkční) chování.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

15.11.2013 11:39 little.owl | skóre: 22 | blog: Messy_Nest | Brighton/Praha
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Ja jsem to pouzival uz na Fedora Core 2, kde to byla experimentalni feature vypnuta by default a tam mi to nekdy sestrelovalo i Gnome desktop, ale problem byl v te dobe v aplikacich. Na CentOS/RHEL 4.x uz zasadni problem nebyl.

A former Red Hat freeloader.

18.11.2013 12:48 akarr
Rozbalit Rozbalit vše Re: Úvod do SELinuxu plný obrázků

Gnome desktop si zaslouží být setřelen. SELinux rulez.