LINUX.ORG.RU

Федора на рабочей станции (домашнем компьютере, офисном компьютере)

 , ,


0

1

Кто в теме движухи в апстриме Федоры, скажите, зачем нужны встроенные СЕлинукс и фаерволд на рабочей станции? В чем ценность? В чем у меня проблемы я вижу: селинукс мешает мне настроить работу нескольких приложений (hostblock, dnscrypt-proxy и тд), в с фаерволлд я вообще не сталкивался, потому что везде есть iptables/nftables, которые работают напрямую. Для чего нужны эти обертки в десятом поколении? В итоге чтобы пользоваться РАБОЧЕЙ СТАНЦИЕЙ мне надо курить мануалы по СЕлинуксу и фаерволлд, что просто обеспечить работу приложений и простейшей защиты.

Поныл немного, теперь второй вопрос. Есть ли какие-то неблагоприятные последствия кроме гипотетической потери в защите от кого-то там где-то там (на рабочей станции за 3 НАТами)? На чем СЕлинукс и фаерволлд завязаны и что может выйти из строя/не установится и тд? Имеет ли смысл рассматривать Федору как дистр при условии отключения этого ненужного мне барахла? Или может быть есть более простой выход их положения?

На потенциальный вопрос «а почему тогда не возьмешь убунту/минт/$GNU/LINUX, раз не нравится федора в том виде, в котором она есть?». Потому что я уже пробовал все более-менее апстримные дистрибутивы и они мне нравятся еще меньше по разным причинам. Распинаться в конкретике не буду для избежания срача не по текущей теме.

Господа анонимусы, надеюсь на ваше понимание. Оставляю возможность писать. Пишите по делу.

Ответ на: комментарий от Shevan

Ну я вот как раз покзала пример что он заблокировал исполнения кода в куче для hl2, притом что сам hl2 прекрасно работает без нареканий

sparks ★★★★
()

Потому что я уже пробовал все более-менее апстримные дистрибутивы

Kali Linux уже пробовал?

А по делу: в федоре больше всего хорошего окромя selinux и firewalld. Я вообще selinux теперь отключаю сразу после полугода разруливания разных проблем с ним. firewalld не мешает, и я его не трогаю. Зато в федоре есть много новшеств, которые ещё не пришли в другие дистры. Podman, earlyoom по дефолту на 32-ой, в 33-ей обещают btrfs по дефолту, wayland уже чуть чуть осталось доделать. Ядра, компиляторы - всё новьё. Вот еmacs 27 вчера прилетел. Апдейты мало что ломают (тьфу-тьфу). Телеграм чатик есть, russianfedora, где можно иногда что-нибудь спросить. Жаловаться особо не на что.

rupert ★★★★★
()

Может Suse и Yast. Настроите всё, что вам надо через графический интерфейс. А, потом, когда освоитесь, можно уже и в консольке попечатать.

cross_platform
()

Если не хочется бодаться с SELinux лучше отрубить это дело на фиг. В Gentoo профиль с SELinux далеко не самый навязываемый. Все эти навороты безопасности нужны только для работы, когда конкуренты ищут повод избавиться от кого-то, кто не втирает всем про необходимость политик доступа. Если уж систему взломали с фаерволлом, то там нужны уже фичи OpenBSD, HardenedBSD, Solaris. Чтобы была многослойная защита даже после удачного взлома и у суперпользователя были права только на замену железа. Что-то не видно ошпаренных, втирающих как это необходимо сделать в линуксе, который без платных патчей безопасности и так считай дырявый. А платные патчи и соответственно закрытые уязвимости будут или на плаином ред хате или на русском дистрибутиве. Ибо неположено иметь дыры в государственном дистре. Собственно есть новости, где описаны случаи, когда найденные уязвимости уже были исправлены в русских линуксах.

anonymous
()
14 ноября 2020 г.

Fedora - очень гибкий дистрибутив, тебе никто не запрещает отключить selinux и firewalld и использовать что-нибудь на замен

sunny1983 ★★★★★
()

на рабочей станции за 3 НАТами

SELinux защищает не от внешней атаки по сети, а от скомпрометированных приложений у тебя на хосте.

На примере VPN-сертификатов, описанном Zhbert, допустим ты запустил в браузере нечто и разрешил ему доступ к файлам в /home чтобы залить картинку на хостинг. SELinux даёт тебе гарантию что это нечто не зальет туда же твои VPN-сертификаты и приватные SSH-ключи.

Несмотря на то что процесс запущенный браузером работает от твоего пользователя, и потому с точки зрения стандартных Linux/UNIXпривилегий имеет права на доступ к этим файлам, SELinux не позволит этому процессу считать данные из ~/.certs

alpha ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.