Как бороться с SELinux в Fedora

Фу таким быть.

Здесь я просто говорю что audit2why и audit2allow не являются годными источниками рекомендаций по фиксу проблемы. Само сообщение об ошибке - является. Однако я спорить на эту тему не буду, мне пофиг. Дискуссия на эту тему мне не интересна.

Просто я сомневаюсь что можно получить реально хорошие результаты при использовании дистрибутивной политики, слишком много случайностей. Играться и радоваться что броузер не почикал /home в разных случаях можно, это круто, но результат случайный и неконтролируемый... С SElinux реально хорошо, если сам политику писал и понимаешь что куда внести сразу. Иначе начинается страшная магия с костылями типа audit2why, setroubleshoot и прочая мутотень, гадание на кофейной гуще. То есть что реально произошло в результате применения этих подсказок - хз.

без явной мотивации оно в итоге достанет настолько

У меня десктоп с fedora живет с selinux в Enforcing режиме лет пять. Иногда для wine-игрушек переводить приходится, чтобы убедиться что они все равно не работают и дело не в этом.

Если соблюдать правила гигиены, не расшаривать home по http, не класть ключи в неположенные места и т.п., то selinux не создаёт проблем.

Дистрописатели вам хорошо не сделают.

Это очень сильное заявление. Дистрописатели делают хороший дефолт. В этом заключается суть дистрописания. Если ты более менее следуешь правилам, то дефолта будет достаточно, но кастомизацию под индивидуальные запросы разумеется нужно делать самому.

Или вон второй бабах знаменитый с PDF.js в фурифокс http://danwalsh.livejournal.com/72697.html

Помог selinux? - Нет.

Мне кидать ссылки когда помог что ли или что? Типо кто последний запостит?

Да, давай. Чтоб прям «вот как каких-нибудь ubuntu-шников поимели, а selinux вот как выручил»

Здесь я просто говорю что audit2why и audit2allow не являются годными источниками рекомендаций по фиксу проблемы.

А кто-то с этим спорит? В качестве дополнительного источника информации для локализации проблемы они вполне подходят.

Просто я сомневаюсь что можно получить реально хорошие результаты при использовании дистрибутивной политики, слишком много случайностей.

Сомнение это хорошо. Но дистрибутивные политики уже годами отлажены для стандартных случаев использования. Если нужно что-то нестандартное, то тут уже надо понимать что и зачем делается.

С SElinux реально хорошо, если сам политику писал и понимаешь что куда внести сразу. Иначе начинается страшная магия с костылями типа audit2why, setroubleshoot и прочая мутотень, гадание на кофейной гуще.

Люди, которые умеют писать политики, в состоянии разобраться и с audit2why, setroubleshoot и т.д.

То есть что реально произошло в результате применения этих подсказок - хз.

Ты это сейчас серьёзно?

Просто за последние этак пять лет на десктопных линуксах были только две значимые пробивки, описанные выше (Неуловимый Джо же). И в обоих Selinux оказался бесполезен.

http://rhelblog.redhat.com/2017/01/13/selinux-mitigates-container-vulnerability/
http://danwalsh.livejournal.com/71489.html
http://danwalsh.livejournal.com/71122.html
И что дальше?

Ничего. Не десктоп. На практике не применишь.

Слив засчитан.

Твой, да. Мы тут о десктопе говорим.

А ты говоришь, как типичный вендузятник без понимания реальных векторов эксплуатации. «У меня же стоит Трольсперский Антивирус!!!»

Или вон второй бабах знаменитый с PDF.js в фурифокс http://danwalsh.livejournal.com/72697.html
Помог selinux? - Нет.

А как именно он был должен помочь в этом случае? Чтение файла браузером (на какие есть доступ) и его отправка в сеть — это стандартная функциональность браузера.

Совершенно верно. А в чем смысл Selinux на десктопе?

Вектор мне дайте. Реальный. Хоть что-то было?

реальных векторов эксплуатации

Как отличить вектор эксплуатации от легитимной функциональности? Вот применительно в атаке через pdf.js.

Вдруг кто гоняет браузер из под рута. Вот такой насосаный из пальца вектор. На самом деле я не знаю, что сказать, поскольку применительно к десктопу не интересуюсь целенаправленно.

Ну в общем я согласен с тезисами. Но не про SElinux. И не про Федору. И даже не про RHEL. Да и дело не в том какой дефолт - я не люблю подстраиваться под неудобные мне вещи и хочу понимать что в итоге мне гарантируют и в каких условиях. То есть если строчка есть в политике, она должна быть там потому, что это нужно мне, а не потому, что где-то там решили что это хороший дефолт. Я не хочу своё время тратить на постоянную борьбу с sepolicy, но при этом я хочу знать, что жабаскрипт из хомяка не сможет пойти на 25-й TCP порт. То есть есть риск на который я готов идти, и есть тот, на который не готов. То есть софт может быть в хомяке (исполняемые файлы! suid'ные!) так как я его там компиляю. Но броузер весь адски порезан, вместе с почтой. Ну и всякая фигня по мелочи. А на серверах под каждый сервис свой контекст с чётко прописанными доступами, ничего лишнего вообще не сделать. Никаких идей на счет того что там может понадобиться кому-то - все разрешения на каждое индивидуальное действие. Разумеется всё начинается не с selinux'а а с продумывания конфигураций самих сервисов, SElinux - только последний этап. И тут, увы, приходится держать на каждый по виртуалке для тестов обновлений, потому как с selinux в параноидальной конфигурации ошибки в обновлениях могут стоить часов даунтайма :(

Да никак.

Выше совершенно верная цитата по ссылке

The big problem with confining desktop applications is the way the desktop has been designed.

Вопрос же о целесообразности Selinux на десктопе. А не о том, что обычно очень сложно в рамках десктопа со всеми его хитросплетениями понять, что опасное действие, а что нет.

Ну, мы говорим на разных языках. Я предлагаю закрыть тему.

вообще selinux нецелесообразен если воспринимается как чёрный ящик который настроил дистроклепатель и к которому надо приспосабливаться. тут нет ни безопасности ни удобства. Нахрена? Безопасность должна быть прозрачной и помогать а не мешать. Разгребать за горе-админами порушенный SElinux из-за того что супер-дупер софтина за много $$$ не запускается на этом вашем ...? Как раз после audit2allow... Просто или изучаешь инструмент и пользуешься им нормально или не пользуешься. Зачем себя обманывать? Плюс если нет чётких целей и списка важного и что нужно защизать и от чего, то это блин «у Оли новый антивирус!». С другой стороны если это вам даёт чувство защищённости и легче спать ночами, то я тут соглашусь, хорошо, здорово, полезно.

Язык у нас одинаковый (и я не имею в виду русский), просто вещаем с разных колоколен.

Я предлагаю закрыть тему.

Как скажешь.

Пробовал. :) В случае отладки PAM хотя бы понятно, когда ждать проблему и где искать её причину. А здесь ты ничего не подозреваешь, указываешь ключи, жмёшь «соединиться» и получаешь генерала Фейлора (в смысле неуточнённую ошибку соединения). Никаких предупреждений, намёков, ничего.

У тебя отлично видно в логе что vpn полез в user_home_t и там получил по рукам на open(2), что абсолютно правильно, так как демон vpn работает из confined домена.

Да, проблему отлично видно, только ни черта не понятно, что с ней делать.

А здесь ты ничего не подозреваешь, указываешь ключи, жмёшь «соединиться» и получаешь генерала Фейлора (в смысле неуточнённую ошибку соединения). Никаких предупреждений, намёков, ничего.

Да, проблему отлично видно, только ни черта не понятно, что с ней делать.

Но ведь если DAC даёт отлуп то этот отлуп сам по себе не запишется вообще _никуда_, и узнать что-то что не заработало можно только post-factum косвенно по логам. А если и логируется, то там в логе не будет написано как для чайников что мол запустите chmod на ресурс, там будет тупо permission denied в лучшем случае. Чем так принципиально хуже отлуп из MAC (SELinux), который мало того что логируется, так ещё и из кожи вон лезет пытаясь помочь в траблшутинге? (У меня лично в гноме notification всплывает, да, не знаю уж как у других.)

Опять же, в приведённом логе честно сказано что соединение не установить потому что не открыть файл с сертом:

caterpillar-laptop nm-openvpn[18168]: Cannot load certificate file /home/caterpillar_tractor/Документы/ключи/caterpillar-laptop.crt

ИМХО, но SELinux на домашнем ПК проще просто выключить, т.к. не нужен.

// Тред не читал.

Безопасность должна быть прозрачной и помогать а не мешать.

лол, безопасность - это всегда трейдофф с удобством. представляю твои сесурные системы с такими представлениями об этой самой сесурности.

Безопасности самой по себе не бывает. У тебя комп ты на нём делаешь $$$. Самое простое по безопасности - это отключить сеть и замуровать в бетон. Но тогда ты не сможешь на нём делать $$$. Вот делать $$$ - первично. Безопасность - вторична. Если безопасность мешает делать $$$ - нафиг такая безопасность нужна. Если безопасность помогает не терять $$$ и зарабатывать больше - это круто и приятно. Так понятнее?

федора так не думает

Самое простое по безопасности - это отключить сеть и замуровать в бетон.

о чём я и говорю, дальше ты просто идёшь на компромис.

Вот делать $$$ - первично. Безопасность - вторична.

это всё, опять таки, упирается в твой компромис между удобством и безопасностью. не бывает удобной и приятной безопасности.

Так понятнее?

каша у тебя в голове - вот что мне понятно.

Естественно, ибо надо тестировать :)

Эх, лечиться вам батенька надо.

Я ж не спорю про компромиссы. Просто компромисс тут в одну сторону - всегда не в пользу безопасности. Могут придти злобные дяди и энфорсить полиси и ибеждаться что комп вмурован в бетон и сети нету, но этим дядям нужно платить зарплату, а для этого я должен что-то с этим компом делать, а делать с ним вмурованным в бетон ничего нельзя. Поэтому не бывает безопасности самой по себе. Сначала строится процесс наиболее эффективно, потом уже безопасность накручивается. Если Маше для работы надо запускать .exe, присланные в ссылках в вконтактике, значит это надо для работы, и чтобы обезопасить возможность зарабатывания Машей $$$, нужно исходить из существующего процесса, и смотреть где можно подстелить, понимая заранее риски, и оценивая стоимость простоя. Потому как потери из-за того, что какая-то дрянь не даёт Маше запустить .exe может быть выше, чем от переналивки компа за 2 часа раз в неделю. Надеюсь, я теперь изложил понятно. Если не помогло, простите, я больше ничего не могу сделать :(

Сначала строится процесс наиболее эффективно
Если Маше для работы надо запускать .exe, присланные в ссылках в вконтактике, значит это надо для работы

расскажи ещё про эффективные процессы

потом уже безопасность накручивается

во многих сферах действуют всевозможные регуляции и как раз процесс накручивают на безопасность.

И никто в целом лоре не предложил придти к подруге под вечер с цветами, вином и ключами для vpn. И всё самостоятельно настроить. А selinux поможет провозиться с этим до времени, когда транспорт уже не ходит.

О времена, о нравы.

Там где есть процесс. Да и не верю я что процесс можно накрутить на безопасность. Сначала же риски надо посчитать и прибыль. И уже смотреть как можно снижать риски минимальными затратами. А то мож с этой безопасностью и начинать не стоит. Безопасникам дай волю, посадят в железной комнате без сети и сотовые будут на входе изымать. Даже если это нафиг никому не сдалось. Просто мозги у них так работают. Продуктивность же их вообще не интересует.