LINUX.ORG.RU

Что? В остальных дистрибутивах оно 100 лет. А ванильность не оправдание арча уже лет 10 — он просто говно.

anonymous
()

Патчи для управления сетевыми правилами, с которыми собирают ядро в убунте и сусе, включили? А то если нет, не считается

TheAnonymous ★★★★★
()

Он сто лет как в ванильном ядре, но там не всё. Хотя и в таком виде очень неплохо, внятных альтернатив без страданий нету.

anonymous
()
Ответ на: комментарий от Deleted

debian testing вроде помер, устанавливаю через нет-исталятор базовую часть, сама система работает, но при попытке что либо доустановить через apt - ругается на dpkg, пошел на хитрость и установил базовую часть от stretch - проверил apt все работает, изменил репу на sid и выполнил # update\upgrade, после чего apt опять сломался и стал ругаться на dpkg

amd_amd ★★★★★
()
Ответ на: комментарий от Deleted

из ежедневной - вчера и сегодня пробовал, потом недельный срез пробовал - такая же байда, да какая собственно разница это же самое в unstable репе прилетело поверх strech...

amd_amd ★★★★★
()
Ответ на: комментарий от amd_amd

Поставил постгрес, пых,нгинкс - никаких проблем не возникло.

Deleted
()
Ответ на: комментарий от amd_amd

Слишком общий пример. Приведи конкретную команду, после которой apt в текущем testing ругается. Посмотри по .bash_history, если забыл.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от amd_amd

Debian Stretch работает через одно место, а ты говоришь про тестовую версию, которая ещё хуже. Debian как был сборище костылей, так им и остаётся.

anonymous
()
Ответ на: комментарий от anonymous

Stretch работает через одно место

нормально работает, но если прописать sid репу и выполнить # update\upgrade начинается треш, apt умирает и ругается на dpkg

amd_amd ★★★★★
()
Последнее исправление: amd_amd (всего исправлений: 1)
Ответ на: комментарий от amd_amd

Поставил на виртуалку только что с этого образа: http://cdimage.debian.org/cdimage/daily-builds/daily/current/amd64/iso-cd/deb...

Всё работает: https://imgur.com/g7O405F

В tasksel снял все звездочки, кроме «Стандартные системные утилиты».

Vsevolod-linuxoid ★★★★★
()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от amd_amd

Поставил с того же образа, сняв на сей раз все звездочки в tasksel, только минимум. Все равно, всё работает как надо: https://imgur.com/k0gZ1pq

Не можешь расписать полный путь воспроизведения ошибки?

Vsevolod-linuxoid ★★★★★
()
Последнее исправление: Vsevolod-linuxoid (всего исправлений: 1)
Ответ на: комментарий от Ivan_qrt

Чтобы настроить SELinux нужно пять лет маны RH курить или на курсы записываться. AppArmor тоже говно, но хотя бы базовые функции с ним сделать можно.

anonymous
()
Ответ на: комментарий от Vsevolod-linuxoid

епт - получается я по кругу одно и тоже пробую? прямо сейчас ставлю в виртуалку... а что у тебя в sources.list, какое имя дистра в репе - sid?

amd_amd ★★★★★
()
Ответ на: комментарий от anonymous

Неплохо бы готовые профили иметь. Что селинукса, что этого, почему только сильно протухшие лежат? Ручками конфигурировать это всё хорошо конечно, но безопасность приложений только понижается, если запрещать всё подряд.

anonymous
()
Ответ на: комментарий от amd_amd

Я даже не знаю... может ты диск рано вынимаешь? Обычно перед финальной перезагрузкой при установке он сам отмонтирует и извлекает диск — ты не торопишь события?

Vsevolod-linuxoid ★★★★★
()

Что apparmor, что selinux — источники бесконечного геморроя.

3 часа ёбся, пытаясь выяснить, почему testsaslauthd работает, а через ldap не аутентифицирует. Оказывается потому, что Шатлврот решил, что slapd-у НИНУЖНО давать доступ к сокету saslauthd.

Правильно дока по k8s начинается с совета ВЫРУБИТЬ НАХЕР SELINUX.

anonymous
()
Ответ на: комментарий от Vsevolod-linuxoid

ты не торопишь события?

нет не тороплю - перезагружаюсь с диском в дисководе, последний шанс - попробую на другой машине, но это абсурд...

amd_amd ★★★★★
()
Ответ на: комментарий от TheAnonymous

Не знаю есть ли там патчи, но для меня и так считается. Лично я использую apparmor для изоляции firefox от важных локальных файлов.

Taetricus
() автор топика
Последнее исправление: Taetricus (всего исправлений: 1)
Ответ на: комментарий от Ivan_qrt

Гораздо проще. С помощью aa-genprof можно просто смотреть, что программа делает и говорить можно ли ей это делать или нет. А затем запретить ей все кроме того, что разрешено.

Taetricus
() автор топика
Ответ на: комментарий от Vsevolod-linuxoid

VM используешь

использую virtualbox в нем диск автоматом не извлекается и после перезагрузки опять в установочный диск попадаю, приходится вырубать виртуальную машину - извлекать диск и запускать ее заново, а на живом железе - тоже не извлекаю диска, а в биосе выставлено чтение с винчестера и после перезагрузки автоматом с него читает

amd_amd ★★★★★
()
Ответ на: комментарий от amd_amd

Хм... действительно интересно. Я использую VirtualBox с репозитория Oracle, хост Debian 9 — и у меня диск извлекается сам под конец установки.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

извлекается сам под конец установки

если ставлю stretch то да, а если sid - нет, считал что это косяки unstable

amd_amd ★★★★★
()
Ответ на: комментарий от amd_amd

У меня автоизвлечение сработало на образе, ссылку на который я давал. С какого образа ты ставил? Я считал, что образы есть только для buster, а для sid их не существует.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от Vsevolod-linuxoid

ставил все и что ты давал и sid, чистый sid можно качнуть сдесь https://d-i.debian.org/daily-images/ в sources.list имя дистра будет sid... попробовал на другой машине - таже картина, короче меня в sid-e забанили!

amd_amd ★★★★★
()
Ответ на: комментарий от Taetricus

Сулинакс тоже генерируется точно так же. Толку то. Это наверно нужно чтобы разрабы сами следили за поддержанием актуальных пресетов, или мейнтейнерам проводить развёрнутое тестирование на предмет изменений в каждой версии. Ну «проверенные» профили которые на 10 лет протухли и уже не работают это бред — зачем тогда вообще их поставлять?

anonymous
()
Ответ на: комментарий от anonymous

Сулинакс тоже генерируется точно так же. Толку то.

В своё время сидел на федоре и искал аналоги aa-logprof и aa-genprof в selinux, найти не смог. А именно в этих двух утилитах и есть весь смысл.

Ну «проверенные» профили которые на 10 лет протухли и уже не работают это бред — зачем тогда вообще их поставлять?

Согласен, поэтому пользуюсь только профилями созданными в ручную под свои нужды.

Taetricus
() автор топика
Ответ на: комментарий от Taetricus

для изоляции firefox от важных локальных файлов

Если он запущен на одних иксах, он сможет много наделать и без доступа к файлам, например, делать снимки экрана и перехватывать записывать нажатия клавиш

TheAnonymous ★★★★★
()
Ответ на: комментарий от anonymous

В сулинакс метки в xattr, в аппарморе политики на основе путей в ФС

TheAnonymous ★★★★★
()
Ответ на: комментарий от Taetricus

Гораздо проще. С помощью aa-genprof можно просто смотреть, что программа делает и говорить можно ли ей это делать или нет. А затем запретить ей все кроме того, что разрешено.

Да в общем-то с selinux всё тоже самое:

  • setenforce 0 - ничего не блокируем, только выводим сообщения.
  • ausearch - смотрим, что программа делает. Ну или любым другим способом просматривает audit.
  • audit2allow - если надо сгенерировать политику. Далее убираем лишнее/добавляем нужное.
  • semodule - применяем изменения в политике. semanage - меняем контексты ресурсов.
  • setenforce 1 - включаем блокировку активности.

Гуями к этому не интересовался, о наличии не знаю. aa-genprof позволяет избавиться от каких-то из этих шагов?

Ivan_qrt ★★★★★
()
Ответ на: комментарий от anonymous

Чтобы настроить SELinux нужно пять лет маны RH курить или на курсы записываться.

А без этого кто настроить запрещает?

Ivan_qrt ★★★★★
()
Ответ на: комментарий от Ivan_qrt

Сам-то настроил в enforcing, лол? То, что переусложнённая дичь, а в жизни есть куда более интересные вещи, чем трахаться с MAC.
P.S. Самым клёвым был GrSecurity RBAC, настраивался просто как палка.

anonymous
()
Ответ на: комментарий от anonymous

Сам-то настроил в enforcing, лол?

Да, было бы там что настраивать. Selinux не отключаю (разве что в диагностических целях). УМВР.

Ivan_qrt ★★★★★
()
Ответ на: комментарий от Ivan_qrt

Федорка, небось? targeted, если что, за настроенный SELinux не считается, ибо не контролирует всю систему, как должен MAC.

anonymous
()
Ответ на: комментарий от anonymous

Федорка, небось?

Десктоп - федорка. Сервера - центось.

targeted, если что, за настроенный SELinux не считается, ибо не контролирует всю систему, как должен MAC.

Ну что там за что считать - дело твоё. Всё, что торчит наружу targeted контролирует.

Ivan_qrt ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.