LINUX.ORG.RU

Я ждал этого надцать лет и вот он случилось.

 


0

3

В стоковое ядро арча включили apparmor, а в репы добавили пакет apparmor с утилитами и демонов. Самое обидное, что на официальном сайте об это ни слова, вся инфа только на арч вики.

Он сто лет как в ванильном ядре, но там не всё. Хотя и в таком виде очень неплохо, внятных альтернатив без страданий нету.

anonymous ()
Ответ на: комментарий от bdfy

debian testing вроде помер, устанавливаю через нет-исталятор базовую часть, сама система работает, но при попытке что либо доустановить через apt - ругается на dpkg, пошел на хитрость и установил базовую часть от stretch - проверил apt все работает, изменил репу на sid и выполнил # update\upgrade, после чего apt опять сломался и стал ругаться на dpkg

amd_amd ()
Ответ на: комментарий от bdfy

из ежедневной - вчера и сегодня пробовал, потом недельный срез пробовал - такая же байда, да какая собственно разница это же самое в unstable репе прилетело поверх strech...

amd_amd ()
Ответ на: комментарий от anonymous

Stretch работает через одно место

нормально работает, но если прописать sid репу и выполнить # update\upgrade начинается треш, apt умирает и ругается на dpkg

amd_amd ()
Последнее исправление: amd_amd (всего исправлений: 1)
Ответ на: комментарий от amd_amd

Поставил на виртуалку только что с этого образа: http://cdimage.debian.org/cdimage/daily-builds/daily/current/amd64/iso-cd/deb...

Всё работает: https://imgur.com/g7O405F

В tasksel снял все звездочки, кроме «Стандартные системные утилиты».

Vsevolod-linuxoid ★★★★★ ()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от amd_amd

Поставил с того же образа, сняв на сей раз все звездочки в tasksel, только минимум. Все равно, всё работает как надо: https://imgur.com/k0gZ1pq

Не можешь расписать полный путь воспроизведения ошибки?

Vsevolod-linuxoid ★★★★★ ()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от Ivan_qrt

Чтобы настроить SELinux нужно пять лет маны RH курить или на курсы записываться. AppArmor тоже говно, но хотя бы базовые функции с ним сделать можно.

anonymous ()
Ответ на: комментарий от anonymous

Неплохо бы готовые профили иметь. Что селинукса, что этого, почему только сильно протухшие лежат? Ручками конфигурировать это всё хорошо конечно, но безопасность приложений только понижается, если запрещать всё подряд.

anonymous ()

Что apparmor, что selinux — источники бесконечного геморроя.

3 часа ёбся, пытаясь выяснить, почему testsaslauthd работает, а через ldap не аутентифицирует. Оказывается потому, что Шатлврот решил, что slapd-у НИНУЖНО давать доступ к сокету saslauthd.

Правильно дока по k8s начинается с совета ВЫРУБИТЬ НАХЕР SELINUX.

anonymous ()
Ответ на: комментарий от Ivan_qrt

Гораздо проще. С помощью aa-genprof можно просто смотреть, что программа делает и говорить можно ли ей это делать или нет. А затем запретить ей все кроме того, что разрешено.

Taetricus ()
Ответ на: комментарий от Vsevolod-linuxoid

VM используешь

использую virtualbox в нем диск автоматом не извлекается и после перезагрузки опять в установочный диск попадаю, приходится вырубать виртуальную машину - извлекать диск и запускать ее заново, а на живом железе - тоже не извлекаю диска, а в биосе выставлено чтение с винчестера и после перезагрузки автоматом с него читает

amd_amd ()
Ответ на: комментарий от Taetricus

Сулинакс тоже генерируется точно так же. Толку то. Это наверно нужно чтобы разрабы сами следили за поддержанием актуальных пресетов, или мейнтейнерам проводить развёрнутое тестирование на предмет изменений в каждой версии. Ну «проверенные» профили которые на 10 лет протухли и уже не работают это бред — зачем тогда вообще их поставлять?

anonymous ()
Ответ на: комментарий от anonymous

Сулинакс тоже генерируется точно так же. Толку то.

В своё время сидел на федоре и искал аналоги aa-logprof и aa-genprof в selinux, найти не смог. А именно в этих двух утилитах и есть весь смысл.

Ну «проверенные» профили которые на 10 лет протухли и уже не работают это бред — зачем тогда вообще их поставлять?

Согласен, поэтому пользуюсь только профилями созданными в ручную под свои нужды.

Taetricus ()
Ответ на: комментарий от Taetricus

для изоляции firefox от важных локальных файлов

Если он запущен на одних иксах, он сможет много наделать и без доступа к файлам, например, делать снимки экрана и перехватывать записывать нажатия клавиш

TheAnonymous ★★★★★ ()
Ответ на: комментарий от Taetricus

Гораздо проще. С помощью aa-genprof можно просто смотреть, что программа делает и говорить можно ли ей это делать или нет. А затем запретить ей все кроме того, что разрешено.

Да в общем-то с selinux всё тоже самое:

  • setenforce 0 - ничего не блокируем, только выводим сообщения.
  • ausearch - смотрим, что программа делает. Ну или любым другим способом просматривает audit.
  • audit2allow - если надо сгенерировать политику. Далее убираем лишнее/добавляем нужное.
  • semodule - применяем изменения в политике. semanage - меняем контексты ресурсов.
  • setenforce 1 - включаем блокировку активности.

Гуями к этому не интересовался, о наличии не знаю. aa-genprof позволяет избавиться от каких-то из этих шагов?

Ivan_qrt ★★★★ ()
Ответ на: комментарий от Ivan_qrt

Сам-то настроил в enforcing, лол? То, что переусложнённая дичь, а в жизни есть куда более интересные вещи, чем трахаться с MAC.
P.S. Самым клёвым был GrSecurity RBAC, настраивался просто как палка.

anonymous ()
Ответ на: комментарий от anonymous

Федорка, небось?

Десктоп - федорка. Сервера - центось.

targeted, если что, за настроенный SELinux не считается, ибо не контролирует всю систему, как должен MAC.

Ну что там за что считать - дело твоё. Всё, что торчит наружу targeted контролирует.

Ivan_qrt ★★★★ ()