LINUX.ORG.RU

В SUSE добавят SELinux

 , , , ,


0

0

Отличная новость для экспертов и энтузиастов в безопасности, а также просто параноиков!

В openSUSE 11.1 будет добавлена базовая поддержка SELinux. В SLE также будет включен SELinux как technology preview.

По умолчанию, как и прежде, будет устанавливаться AppArmor, а SElinux пользователи смогут включить самостоятельно.

Под базовой поддержкой понимается:

  • Ядро с поддержкой SELinux.
  • Патчи для распространённых пользовательских пакетов.
  • Библиотеки, которые требует SELinux (libselinux, libsepol, libsemanage, etc.), будут добавлены в openSUSE и SLE.

Утилиты и политики для работы с SELinux не будут поставляться на носителях, а будут доступны лишь из онлайнового репозитория и будут предназначены прежде всего для тестеров.

>>> Подробности

Гм... искренне считал, что selinux уже везде и повсеместно... ;)

От что значит "узкий кругозор"...

Slavaz ★★★★★
()

селинукс ненужен, ибо не дает БЫСТРО поднять хостинговый сервак а-ля "все в одном"

anonymous
()
Ответ на: комментарий от Slavaz

Это обычное явление. Шапоковцы начинают пропихивать
оттачивают и вылизывают. Все их ругают ...
Потом постепенно устаканивается это начинают пихать ( через пару лет )
во всякие дебианы и сусы( которые для Линуха не фига ничего не делают )
а потом все говорят что Федора такое г .... а дебиан круть !
Можно много чего вспомнить по этому поводу : переход на 4 гсс,
у8 ну и т.д.

http://www.linux.org.ru/jcaptcha.jsp

anonymous
()

>Отличная новость для экспертов и энтузиастов в безопасности. а так же просто параноиков!

порадовало

Correctnoe_imya_polzovatelya ★★★★★
()
Ответ на: комментарий от anonymous

>Это обычное явление. Шапоковцы начинают пропихивать оттачивают и вылизывают. Все их ругают ...

Должны же быть бетатестеры...

>Потом постепенно устаканивается это начинают пихать ( через пару лет ) во всякие дебианы и сусы( которые для Линуха не фига ничего не делают )

И правильно делают-работать, черные обезьяны, до захода солнца еще далеко.

anonymous
()
Ответ на: комментарий от anonymous

>Потом постепенно устаканивается это начинают пихать ( через пару лет )
во всякие дебианы и сусы( которые для Линуха не фига ничего не делают )

Red Hat и Novell делают одинаковый вклад в СПО

srgaz
()
Ответ на: комментарий от anonymous

Да-а, пол-года одну проблему искали, оказалось - селинукс. Проблема такая: blowfish девять раз шифрует/расшифровывает нормально, на десятый - выдаёт лажу. И хоть тресни. Как догадаться, что это селинукс? ОС CentOS 5. Нашли, когда выяснили, что запущенный из консоли php коннектится к удалённым mysql-серверам, а запущеный из вебс-сервера - нет.

Причём, ни разу не видел примера, чтоб наличие селинукса спасло от такого чего-то, что непременно бы сломало обычный линукс.

Вывод: на кой он чёрт нужен?

anonymous
()
Ответ на: комментарий от anonymous

Что-то только и слышно, что от него одни проблемы. Какой от него реальный толк так никто и не поделился.

madcore ★★★★★
()
Ответ на: комментарий от gnomino

> PS Тоньше

Давай несколько примеров для Дебиана и Сусе что они сделали для ГНУ/Линукса .... Дебиан хоть отдельный дистрибут а Сусе так вообще вырос из Слаки после того как туды добавили рпм ...

http://www.linux.org.ru/jcaptcha.jsp

anonymous
()

Не прошло и сколько-то там лет...

jackill ★★★★★
()
Ответ на: комментарий от anonymous

>Давай несколько примеров для Дебиана и Сусе что они сделали для ГНУ/Линукса .... Дебиан хоть отдельный дистрибут а Сусе так вообще вырос из Слаки после того как туды добавили рпм ...

Убейся ап стенку неудачник но перед этим сходи на http://google.com это такой поисковик он тебе поможет найти ответы на твои тупые вопросы, ОК?

sansei
()

>Microsoft и Novell объявили о новой совместной инициативе. Софтверный гигант заплатит $100 млн за сертификаты Novell SUSE Linux для обеспечения совместимости своих продуктов с открытым ПО...

>В SUSE добавят SELinux

Что творят! Что творят!

anonymous
()
Ответ на: комментарий от anonymous

>селинукс ненужен, ибо не дает БЫСТРО поднять хостинговый сервак а-ля "все в одном"

быстроподнятый сервак, особенно "все в одном" имеет шанс быстро пополнить бот-нет.

anonymous
()
Ответ на: комментарий от anonymous

>Давай несколько примеров для Дебиана и Сусе

Статистику патчей ядра глянь, хотя бы. Нет бы самому что сделать... лучше на форумах газы пускать?

gnomino
()
Ответ на: комментарий от anonymous

>Причём, ни разу не видел примера, чтоб наличие селинукса спасло от такого чего-то, что непременно бы сломало обычный линукс.

>Вывод: на кой он чёрт нужен?

Навскидку из http://www.linuxworld.com/news/2008/022408-selinux.html

For example, one vulnerability in the Hewlett-Packard Linux Imaging and Printing Project's software would have allowed an attacker to run arbitrary commands as root. However, according to the company's security advisory on the bug, "On Red Hat Enterprise Linux (RHEL) 5, the SELinux targeted policy for hpssd which is enabled by default, blocks the ability to exploit this issue to run arbitrary code."

Dan Walsh, an SELinux developer at Red Hat, covered another, higher profile mitigation on his blog. Samba, the software that acts as a file server for Microsoft Windows systems, had a vulnerability that would have allowed an attacker to run commands as root. However, "while the exploit might be able to take advantage of a buffer overflow, when the attacker tries to execute the code, SELinux would stop it," he wrote.

anonymous
()
Ответ на: комментарий от sansei

аппармор - неюзабельная дрянь... то, что ты к нему привык это доказывает...

anonymous
()
Ответ на: комментарий от anonymous

>Вывод: на кой он чёрт нужен?

Как зачем ? чтоб было запутаннее и нужны были всякие курсы за бабло - как настраивать, как программировать и т.п. А больше не за чем.

vtVitus ★★★★★
()
Ответ на: комментарий от vtVitus

+1 ну и заодно, типа дайте нам денег, мы мега сервак подымем с ниипаться штукой мандатной...

anonymous
()

Тут многие отписались "нафиг не нужно"... у меня вопрос: многие ли тут реально настраивали selinux? Создавали политики безопасности? Щупали selinux-MLS (да-да, военные и прочие "секретники" будут просто пищать)?
"Оно не нужно" - говорите, пожалуйста, только за себя: "мне не нужно".

Мне - нужно. Для большей уверенности в колокейшн-серваках, для начала... для ведения своего бизнеса с "секретниками" и т.д. Думаю, зарисоваться на следующем LVEE с докладами по настройке selinux...

P.S. Под "настройкой" я не имею ввиду "setenforce 0"... ;)

Slavaz ★★★★★
()

SELinux не ставит своей целью защиту от эксплоитов ядра, т.к. АНБ тоже хочется кушать => фтопку. Всем на grsecurity - вот где Безопасность.

anonymous
()
Ответ на: комментарий от Slavaz

> многие ли тут реально настраивали selinux?

После того, как я понял, что не могу понять как заставить дочерние процессы наследовать ulimit -n (надо было апачу и его детям), selinux у меня настраивается только как =disabled.

Casus ★★★★★
()
Ответ на: комментарий от vtVitus

>>Вывод: на кой он чёрт нужен? > >Как зачем ? чтоб было запутаннее и нужны были всякие курсы за бабло - как настраивать, как программировать и т.п. А больше не за чем.

Крут. Сказал - как отрезал. http://www.awe.com/mark/blog

An update to OpenPegasus (January), where a remote attacker who can connect to OpenPegasus could cause a buffer overflow. The Red Hat Security Response Team believes that it would be hard to remotely exploit this issue to execute arbitrary code, due to the default SELinux targeted policy, and the default SELinux memory protection tests.

anonymous
()
Ответ на: комментарий от anonymous

anonymous> Давай несколько примеров для Дебиана и Сусе что они сделали для ГНУ/Линукса

Debian - полностью свободный и стабильный дистрибутив, плюс хорошая база для других дистрибутивов. Это как минимум. А ЗюЗЯ - это новелл.

Quasar ★★★★★
()
Ответ на: комментарий от Quasar

> Debian - полностью свободный и стабильный дистрибутив, плюс хорошая база для других дистрибутивов.

Дебиан - причина возникновения всяких бубунт => его надо ненавидеть.

anonymous
()
Ответ на: комментарий от anonymous

Правильно, не надо читать. И думать тоже. Надо просто верить что SElinux ничего не блокирует.

anonymous
()
Ответ на: комментарий от anonymous

> селинукс ненужен, ибо не дает БЫСТРО поднять хостинговый сервак а-ля "все в одном"

а мужики-то и не знали :)

phasma ★☆
()
Ответ на: комментарий от Slavaz

> selinux-MLS (да-да, военные и прочие "секретники" будут просто пищать)

До сих пор - не пищат. И перспектив пищать не видно.

tailgunner ★★★★★
()
Ответ на: комментарий от Slavaz

>> До сих пор - не пищат. И перспектив пищать не видно.

> аргументация?

Мне неизвестны круто сертифицированные дистры с SELinux, мне также неизвестно о разработке таких дистров. А военные и спецслужбисты - параноики совершенно клинические, и предпочтут велосипед отечественного производства SELinux, сделанному в NSA.

tailgunner ★★★★★
()
Ответ на: комментарий от anonymous

>Причём, ни разу не видел примера, чтоб наличие селинукса спасло от такого чего-то, что непременно бы сломало обычный линукс.

Больше половины экслоитов не работают. Если бы еще выпускали вариант дистрибутивов со включенной поддержкой NX-бита, вообще было бы классно.

Проблемы, несомненно, тоже есть. Например, при использовании апача в ряде случаев нужно вырубать.

jackill ★★★★★
()
Ответ на: комментарий от tailgunner

> Мне неизвестны круто сертифицированные дистры с SELinux, мне также неизвестно о разработке таких дистров.
Мне известно о разработке, но говорить об этом... как бы сказать.. я не могу. :)

> А военные и спецслужбисты - параноики совершенно клинические,
+1. Но такова их работа. Кому-то нужно быть клиническим параноиком, чтобы кто-то другой мог быть великовозрастным младенцем...

> и предпочтут велосипед отечественного производства SELinux, сделанному в NSA.
-1. Главное и основное требование - исходники. Как они там их будут "шмонать" и есть ли у них люди с необходимым скиллом - мне неизвестно. Но исходники должны быть, как основное условие проверки на НДВ (НеДокументированные Возможности) и для проведения ПО по категории безопасности. Сопроводительная документация по ГОСТам - это отдельная тема для долгого плача в жилетку... :(

Единственный велосипед - ГОСТовые алгоритмы криптографии...

Slavaz ★★★★★
()
Ответ на: комментарий от anonymous

> которые для Линуха не фига ничего не делают ...кроме человеческого лица.

после 4х лет дебиана на ноут (acer aspire one) поставил сюсю и радуется. чего только стоит поддержка железа которое мне нужно из коробки, пакеты сжимаемые lzma, дельта-пакеты и почти ежедневная сборка компонентов KDE4. после установки составил 5 реквестов по улучшению которые надеюсь будут удовлетворены к 11.1

shafff
()
Ответ на: комментарий от Slavaz

>> Мне неизвестны круто сертифицированные дистры с SELinux, мне также неизвестно о разработке таких дистров.

>Мне известно о разработке, но говорить об этом... как бы сказать.. я не могу. :)

Значит, считаем, что их и не разрабатывают.

>> и предпочтут велосипед отечественного производства SELinux, сделанному в NSA.

>-1. Главное и основное требование - исходники. Как они там их будут "шмонать" и есть ли у них люди с необходимым скиллом - мне неизвестно. Но исходники должны быть, как основное условие проверки на НДВ (НеДокументированные Возможности) и для проведения ПО по категории безопасности.

И что? У них будут исходники и любого доморощенного велосипеда. Но _только_ у них эти исходники и будут.

> Единственный велосипед - ГОСТовые алгоритмы криптографии...

Они по крайней мере опубликованы.

tailgunner ★★★★★
()

Из Википедии:"SELinux был разработан Агентством национальной безопасности США и затем был передан разработчикам открытого кода.

Мне одному кажется, что здесь где-то должен быть подвох?

neurosurgeon
()
Ответ на: комментарий от neurosurgeon

> Мне одному кажется, что здесь где-то должен быть подвох?

Нет, не тебе одному. Правда, лично я думаю, что это только кажется.

tailgunner ★★★★★
()
Ответ на: комментарий от tailgunner

>>Мне известно о разработке, но говорить об этом... как бы сказать.. я не могу. :)
> Значит, считаем, что их и не разрабатывают.

Простите, но похоже на позу страуса... :) Как там в одном тематическом фильме было? "Видишь суслика? Нет? А он есть..."

>>-1. Главное и основное требование - исходники. Как они там их будут "шмонать" и есть ли у них люди с необходимым скиллом - мне неизвестно. Но исходники должны быть, как основное условие проверки на НДВ (НеДокументированные Возможности) и для проведения ПО по категории безопасности.

>И что? У них будут исходники и любого доморощенного велосипеда. Но _только_ у них эти исходники и будут.


Насколько я понял, основная мысль в фразе: "ложить секретчики хотели на GPL". Тут я согласен, в этой сфере девиз "цель оправдывает средства" силён как нигде. И помешать государству (пусть и людям, которые представляют это государство) может только другое государство. Ни Вы, ни я не сможем указать "особистам": "мужики, вот тут нарушение GPL... нужно опубликовать изменения".

Я не хочу сказать, что это нормально, я хочу сказать, что таковы реалии.

Slavaz ★★★★★
()
Ответ на: комментарий от Slavaz

> да-да, военные и прочие "секретники" будут просто пищать

Не будут :]

vasily_pupkin ★★★★★
()
Ответ на: комментарий от Slavaz

>>> Мне известно о разработке, но говорить об этом... как бы сказать.. я не могу. :)

>> Значит, считаем, что их и не разрабатывают.

> Простите, но похоже на позу страуса... :)

Как скажешь.

> Как там в одном тематическом фильме было? "Видишь суслика? Нет? А он есть..."

Как там в одно песне пелось? "У нас есть такие приборы! Но мы вам о них не расскажем".

> Насколько я понял, основная мысль в фразе: "ложить секретчики хотели на GPL".

Нет, это не основная мысль во фразе. Основная - "военные и прочие серьезные люди вполне могут получить для своего использвания доморощенный велосипед, который не продержался бы и часа на открытом review". Хотя нарушение GPL тоже не радует.

> Тут я согласен, в этой сфере девиз "цель оправдывает средства" силён как нигде.

А я не вижу цели, которую оправдывают такие средства.

tailgunner ★★★★★
()
Ответ на: комментарий от jackill

> Есть проблемы при работе ndbd в кластерном варианте MySQL

ну как бы если не знать как настроить, то как бы и в кластере MySQL не запустишь.

phasma ★☆
()
Ответ на: комментарий от tailgunner

> Как там в одно песне пелось? "У нас есть такие приборы! Но мы вам о них не расскажем".

:) Намёк понял, настаивать не могу. Проехали.

> Нет, это не основная мысль во фразе. Основная - "военные и прочие серьезные люди вполне могут получить для своего использвания доморощенный велосипед, который не продержался бы и часа на открытом review".


Ну... в принципе да. Один из методов защиты - незнание... правда, совсем неэффективный при утечке. Но безопасность - это не только технические средства, но и административные. Впрочем, не буду отстаивать эту позицию - бесполезно, ибо "человеческий фактор" практически неисключаем.

Slavaz ★★★★★
()
Ответ на: комментарий от anonymous

> селинукс ненужен, ибо не дает БЫСТРО поднять хостинговый сервак а-ля "все в одном"

Да ладно, на сколько я понял эти все хостинговые серваки для простеньких сайтов - обычные себе виртуальные машины. Один раз настрой "всё в одном" и потом виртуалку просто чуть подпилить и всё (если простенький хостинговый сервак "всё в одном").

kost-bebix ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.