LINUX.ORG.RU
ФорумTalks

польза SElinux

 


0

2

Была ли на практике у вас польза от данной поделки? И если да, то опишите конкретный случай.

Подумываю отключить, от сомнительной нужности для себя.

//Из проприетарщины только flash местами, firewall настроен.

Skype запираю в песочницу.

Если не мешает, то лучше не отключай. В случае 0-day уязвимости может спасти.

Black_Roland ★★★★ ()

Для skype, dropbox, и т.п. самое то!

dnf83 ()
Ответ на: комментарий от Black_Roland

Skype запираю в песочницу.

А можно чуть подробней? В моем представлении, selinux - общесистемный механизм. И если он работает, другое ПО (не только скайп) без специальных настроек будет иметь ограничения доступа по дефолту. Или ты для конкретно скайпа делал правила, можно пример?

Deleted ()
Ответ на: комментарий от Deleted

будет иметь ограничения доступа по дефолту

Только если мэйнтейнеры дистрибутива позаботились написать политики. Если собрать (поставить) любой софт не из репов, то SELinux ничего ограничивать не будет.

Или ты для конкретно скайпа делал правила, можно пример?

Ну не совсем. У SELinux есть песочница. Запускается отдельный X-сервер, выделяется отдельный /home и /tmp и т.д. Подробнее можно почитать тут: http://masterpro.ws/forum/28-bezopasnost/4594-skype-v-kletke-selinux-sandbox (про libQtWebKit.so уже не актуально и логи тоже переехали journalctl -a -b | grep avc | audit2allow -M skype)

Black_Roland ★★★★ ()
Последнее исправление: Black_Roland (всего исправлений: 1)

В ряде случаев подсистема безопасности позволит как минимум запротоколировать несанкционированный доступ, а в идеале — предотвратить его. В любом случае, нарушителю придется действовать в рамках, очерченных для конкретного процесса.

Deathstalker ★★★★★ ()

Присоединюсь к вопросу. Слишком геморно его на десктопе поднимать? Что лучше юзать его, или AppArmor?

Sunderland93 ★★★★★ ()
Ответ на: комментарий от Sunderland93

Слишком геморно его на десктопе поднимать?

Я бы сказал что сложно, а уж въехать как это работает смогли единицы. Лучше взять дистр в котором оно из коробке.

Что лучше юзать его, или AppArmor?

SELinux фичастее, но apparmor на порядок проще. Я за apparmor.

true_admin ★★★★★ ()
Ответ на: комментарий от true_admin

У меня Debian 8.1, как сказано в чейнджлоге

Обеспечена возможность использования системы принудительного контроля доступа SELinux (в режиме enforcing). По умолчанию SELinux выключен;

Sunderland93 ★★★★★ ()
Ответ на: комментарий от awesomenickname

SELinux способен компенсировать ошибки в системе безопасности таких программных продуктов, как веб-сервер Hiawatha, система управления контентом Mambo и агент передачи почты Sendmail.

Deathstalker ★★★★★ ()
Ответ на: комментарий от Deathstalker

Hiawatha A secure webserver for Unix written with security in mind.

Я не нашёл ни одного CVE :)

true_admin ★★★★★ ()
Ответ на: комментарий от Sunderland93

У меня Debian 8.1, как сказано в чейнджлоге

Я рекомендую сначала попробовать в виртуалочке чтобы понять степень готовности.

true_admin ★★★★★ ()
Ответ на: комментарий от next_time

Ну, шелл-ботов овердохрена. Руткитов... можно посмотреть на странице rootkithuner. На счёт троянов не знаю, я под троянами имел в виду шелл-ботов. Я, кажись, перепутал терминологию.

true_admin ★★★★★ ()

Удивлюсь если у кого-нибудь вообще эта хрень работает.

Держал виртуалку с 22ой федорой, так при каждом dnf --update на фазе распаковки пакетов на каждом втором пакете с криком от этого самого selinux'а графическую сессию выбивает обратно в gdm. Причем фактически это не креш - пользователь остается залогинен, DE с консолью и dtf запущено. Иногда можно вернуться попереключавшись по виртуальным терминалам, иногда нельзя :\ \

Midael ★★★★★ ()
Ответ на: комментарий от next_time

список отнюдь не впечатляющий

Слава богу. Хотя, на самом деле достаточно одно рабочего чтобы было ссыкотно.

что это?

Скрипт который выполняет удалённые команды. Те что я видел заливали через дыры в форумах.

true_admin ★★★★★ ()
Ответ на: комментарий от awesomenickname

Может быть проблемы с совместимостью с виртуалькой. Тем более, что gdm там на вейланде, всякое может быть.

Midael ★★★★★ ()
Ответ на: комментарий от awesomenickname

Сколько там вирусов для Linux? - Чет примерно 10-15.

А для них уже написали политики SELinux?

Siado ★★★★★ ()

Он подарил мне несколько суток ёбли с андройдом в попытках подмонтировать раздел

mittorn ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.