| 1.1, Аноним (1), 14:36, 13/02/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Зря они так. Этот SELinux чёрт ногу сломит настраивать. Если всё из коробки (дистрибутива) - то Ok, пробоем нет, но как только нужно сделать шаг влево или вправо или доустановить что-то нестандартное, начинается ад, который часто заканчивается просто отключением SELinux.
AppArmor интуитивно понятен и удобен, сразу ясно, что и где.
| | |
| |
| |
| 3.6, Аноним (6), 15:06, 13/02/2025 [^] [^^] [^^^] [ответить]
| +3 +/– |
Анб это министерства обороны. А они разбираются в безопасности.
| | |
| |
| |
| 5.15, Аноним (15), 15:52, 13/02/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вам ещё повезло. У нас - минкульт. И это не прикол. А ещё они выездные визы дают.
| | |
|
|
|
| 2.4, penetrator (?), 14:55, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– | |
ну не то, чтобы сложно, но нарягает
кстати у меня после последних апдейтов apparmor, наверное будет при установки selinux по умолчанию
| | |
| 2.24, Аноним (24), 16:36, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Этот SELinux чёрт ногу сломит настраивать
Для таких они специально комикс нарисовали, но видимо и это слишком сложно. Остаётся только посоветовать setenforce 0.
| | |
| |
| |
| 4.71, Аноним (24), 03:30, 16/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
Нет, другой. Без шутеечек. Я ханипот с selinux и рутовым паролем 123 выставлял в интернет для лулзов ещё в 2017. Всем офисом ухахатывались, как лалка из-под рута несколько раз делает ls /etc, cat /etc/shadow, passwd итп, получает в ответ фигу и отваливается. Соглашусь, конечно, что развлечения у нас тогда были довольно туповатые, но и мы тоже не гроссмейстеры были.
| | |
|
|
| 2.31, Аноним (31), 17:25, 13/02/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>начинается ад, который часто заканчивается просто отключением SELinux
Это всё потому, что SELinux всё ещё не сделали сервисом systemd.
| | |
| 2.52, мяв (?), 01:37, 14/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
 >интуитивно понятен и удобен
только, если Вы мазохист .. и если Вам надо видимость, а не хоть какую-то защиту .. любой меткооснованный МАС будет удобней и быстрее настроить, чем _такой_ путеоснованный.
посмотрите на нормальные примеры путеоснованных МАСов, вроде tomoyo - сильно удивитесь.
| | |
| |
| 3.72, Аноним (24), 03:33, 16/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
Метки очевидно лучше. Они абстрактны, не привязаны к организации файлов на фс и не теряют субъективный смысл при перемещении в другой каталог или на другой хост.
| | |
|
|
| |
| |
| 3.14, Аноним (14), 15:42, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
а зачем переплачивал? покупай отческий автопром, там такого нет :)
| | |
| |
| 4.20, Ыыыыы (?), 16:29, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> а зачем переплачивал? покупай отческий автопром, там такого нет :)
Типичный ЭКСПЕРТ с Опеннета... Тут таких много
Езжу на отечественном автопроме. Подушки и АБС в наличии. И усилитель руля тоже.
| | |
| |
| |
| 6.25, Ыыыыы (?), 16:37, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Чаохуньвсунь это китайской отечественный аатопром.
Хватит бредить! Какое отношение Лада Веста имеет к китайскому автопрому?
| | |
| |
| |
| 8.45, _ (??), 22:15, 13/02/2025 [^] [^^] [^^^] [ответить] | –1 +/– | Можно подумать что в каком нить Форде - они _не_ китайские, ага - ЩАЗЗЗ ... текст свёрнут, показать | | |
| 8.56, EULA (?), 07:00, 14/02/2025 [^] [^^] [^^^] [ответить] | +/– | Тогда и немецкий автопром это или китайско-российско-камбоджийско-таджикский та... текст свёрнут, показать | | |
|
| 7.42, Аноним (24), 20:27, 13/02/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Какое отношение Лада Веста имеет к китайскому автопрому?
Какое отношение Лада Веста имеет к автомобилям?
| | |
|
|
|
|
|
|
| 1.10, Фрол (?), 15:35, 13/02/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Lol напомните, оракл уже убрал из мануала по инсталляции "отключить селинукс к такой то маме"?
| | |
| |
| 2.40, Аноним (24), 20:25, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
Не только убрал, но и требует теперь его включения для всех новых деплоев. И для увеличения градуса горения: Оракл так же рекомендует все новые деплои делать в виртуальные машины в облаке, и публикует соответствующие подробнейшие инструкции как это должно выглядеть. А для тех, у кого времени читать инструкции нет они свой свобственный клауд запилили. Такой вот лол.
| | |
| |
| 3.53, Фрол (?), 03:57, 14/02/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
ох нети
полез на docs.oracle.com свериться, для версии 23аи (АИ, не ер собачий!) ни одна дока не открылась, заглянул в линукс инсталлейшн гайд, а там прямо в предисловии третий раздел Диверсионность И Инклюзивность. тьфу ты.
не стал дальше и читать, тут не исправить уже ничего, господь, жги. я слишком стар для этого вида дерьма.
| | |
| |
| 4.73, Аноним (24), 03:36, 16/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
Слабак. А я прочитал и неплохо зарабатывал полтора года консультируя интеграторов.
| | |
|
|
|
| 1.11, Ося Бендер (?), 15:39, 13/02/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ждем когда Леннарт запилит ЭсИЛинукс в системДи. Загрузку по сети он уже сделал, сделает и это.
| | |
| 1.13, Аноним (13), 15:40, 13/02/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В SELinux уже добавили адрес системного образа по умолчанию для загрузки по http?
| | |
| 1.16, Аноним (16), 15:52, 13/02/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Однозначно, SELinux - лишняя сущность. Её видимо создавали под впечатлением вантузныйх прав доступа. Истинный линуксоид будет избегать SELinux.
| | |
| |
| |
| 3.23, vlad1.96 (ok), 16:36, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Никак. Официально поддержки нет и нужно всё перекомпилировать c флагом selinux
| | |
| |
| 4.26, Аноним (26), 16:40, 13/02/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да хорош, блин.
Уже третья причина "вернуться" (когда-то давно им пользовался) на рачик за пару дней. Сидел же на Федоре последний год, горе не знал... :(
| | |
| |
| 5.29, vlad1.96 (ok), 16:47, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
Но сами ядра уже собраны с поддержкой, не волнуйся :-)
Это всякие coreutils и т.п. нужно собирать с флагом, а ядро по умолчанию поддерживает
| | |
|
|
| |
| 4.39, Семен (??), 20:16, 13/02/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
Статья старая. Там половина не соберется, мне приходилось писать свои скрипты и патчи, я один из немногих кто смог завести арч с selinux 2-3 года назад, у меня раньше был форк арча для себя и он работал с selinux. Референсные политики придется подгонять под систему, и вы все равно будете получать блокировку системы, и надо не мало доделывать под свою систему. Я советую не тратить время и нервы на arch c selinux, особенно без наличия глубокого опыта с selinux, и если вы никогда не читали книгу The SELinux Notebook. Нормальная поддержка из коробки есть только в продуктах производных от Red Hat. Поэтому это эталон, у остальных если и есть поддержка selinux, то это куча костылей.
| | |
| |
| 5.63, vlad1.96 (ok), 13:29, 14/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
Сам не ставил, но подозрения насчёт отсутствия политик было. Какой-нибудь Centos Stream хоть изначально целостных, а что делать со сборными солянками — большой вопрос.
| | |
|
|
|
| 2.41, Семен (??), 20:26, 13/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну да ну да... За 30 лет я не видел ни один взломанный сервер с selinux, только те где сделали setenforce 0, при этом на них крутились веб сайты с дырявыми движками, и selinux не давал раскрутить и реализовать уязвимости, даже если где-то удавалось получить шел, то эксплоиты просто отваливались, а шел не давал возможность получить даже листинг директорий за пределами сайта и читать файлы типа /etc/passwd, конфиги системы. Надежнее selinux нет мандатного контроля, чтобы себе неосилянты не придумывали.
| | |
|
| |
| 2.51, мяв (?), 01:34, 14/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
ну, он живой.
разраб на сайте отписывается, на lts-ядра портирует.
я не тыкала, ибо не то, что мне нужно было
| | |
|
| 1.44, Аноним (44), 22:14, 13/02/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>AppArmor прост в настройке и при определении профилей доступа привязывается к файловым путям.
Кто знает, если при включенном AppArmor сделать mount --bind, контроль сохранится или нет?
| | |
| |
| 2.50, мяв (?), 01:32, 14/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
каво и куда Вы собрались --bind ?
не уверена, как в АА, но tomoyo просто сделает новый домен для файла из забинженой директории.
если к конкретному пути не было прописано доступа - его и у приложения не будет.
| | |
| |
| 3.59, Аноним (44), 09:34, 14/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
Что будет если в контейнере кто-то сделает bind с одного пути на другой, например на разреёшнный? Есть /access/ и /deny/. Что будет, если сделать mount --bind /deny /access/a - путь будет обрабатываться как разрешённый или нет?
| | |
| |
| 4.61, мяв (?), 11:19, 14/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
МАСи в принципе без политики под всё окружение не работают.
у Вас у процессов не должно возможности быть черт-те что биндить черт-те куда. как и запускать, что попало.
если в папке /Orig у Вас, условно, был файл MyFile и у домена было 'file write /Orig/MyFile', то при биндинге с /Orig на /Bind, доступа у приложения к /Bind/MyFile не будет.
ровно, как и исполняемому файлу /Bind/MyExe не будет присвоен тот же домен, что у /Orig/MyExe.
это будет 2 разных домена и 2 разные иерархии.
у tomoyo для таких финтов с исполняемыми файлами есть политика исключений, где прописывается строка вида 'aggregator /Bind/MyExe /Orig/MyExe' для обработке 1го пути в контексте домена 2го и избежания клонирования политики.
для файлов просто пишете 2 записи на write - для 2х путей.
или создаете в политике исключений path-группу, куда добавляете 2 файла и даете приложению 'file write @MyPathGroup'.
| | |
| |
| 5.70, Аноним (44), 20:41, 15/02/2025 [^] [^^] [^^^] [ответить]
| +/– | |
>у Вас у процессов не должно возможности быть черт-те что биндить черт-те куда. как и запускать, что попало
Отлично, и зачем тогда MAC нужен? Это получается, что как только у приложения появилась возможность повысить привелегии, то весь этот MAC элементарно обходится.
| | |
| |
| 6.76, мяв (?), 08:37, 18/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
затем, чтобы добить до состояния, когда дальше будет только подсистема lsm.
проникновений в которую не было уже давненько
| | |
|
|
|
|
|
| 1.48, мяв (?), 01:29, 14/02/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
вау!
еще один дистрибутив с .. refpolicy от rh! это надо отметить!
Зы. а если серьезно, то молодцы. АА - хлам тот еще, неспособный почти ни на что.
интересно, почему никто не хочет адаптировать tomoyo ? точнее, как .. я понимаю, почему - это сложно.
но это буквально "таблетка от всех болезеней". ибо есть возможность даже предотвращения исполнения кода на уровне ядра(если проблема не позволяет, конечно, попятить lsm). к примеру, от недавнего RCE в tcp-стеке оно защищает - ядро просто не сможет execute сделать на левый файл.
1 год потратила на поэтапную настройку(с 4мя попытками в нормальную политику. если б сразу очилила всю документацию, а не на половину, то было б меньше) и теперь 95% уязвимостей просто невозможны.
| | |
| |
| 2.49, мяв (?), 01:30, 14/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
еще благодаря patternize, режиму обучения и acl-группам теперь почти не правлю политики для новых приложений руками.
| | |
| 2.65, Аноним (65), 17:57, 14/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
 Execute сделать запрещает простое монтирование noexec для таких мест как /home, /var ... Если считать рутовый код доверенным, то exec можно снять только для разделов куда пишет пользователь. Получается w^x на уровне фс.
| | |
| |
| 3.68, мяв (?), 00:02, 15/02/2025 [^] [^^] [^^^] [ответить]
| +/– |
угу .. и какое отношение имеет защита от rce на уровне ядра монтирование /var с noexec .. ?
| | |
|
|
| 1.74, Аноним (74), 20:06, 16/02/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
толку от этого селинукса? вон, в андроидах везде включён по умолчанию, так телефоны щёлкают как орехи миллионами через уязвимости в каком-нибудь воцапе.
для серверов, может, он имеет смысл, если нет ГУИ, но если планируется запускать что-то графическое (особенно через вайн), то оно просто не запустится.
| | |
|
