LINUX.ORG.RU

Предпочитают отключать те, кто считает что он им не нужен, либо ленивые админы.

bdfy ★★★★★ ()

Давайте по-другому: может кто-нибудь описать реальный юзкейс?

Серьезно, очень интересно. Слышал, что на Западе пользуется технология популярностью. Хотклось бы понять, насколько оно надо и стоит ли с ним разбираться.

Borifed ()

Оно не для домашних локалхостов

Deleted ()

все его предпочитают отключать
все

Будь осторожнее с квантором общности.
[root@mx1 ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31

imul ★★★★★ ()
Ответ на: комментарий от Jopich1

Ну на тебе ещё локалхост.
~ $ sudo sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: strict
Current mode: permissive
Mode from config file: permissive
Policy MLS status: disabled
Policy deny_unknown status: denied
Memory protection checking: requested (insecure)
Max kernel policy version: 31

imul ★★★★★ ()
Ответ на: комментарий от Jopich1

Ну ты молодец, умеешь локалхост админить.

imul ★★★★★ ()

Оно не для десктопа [2]

fornlr ★★★★★ ()

Слышал краем ухом это чем-то связаное с мандатным управлением доступом, хотя хз шо значит мандатное?) Слово мандат я слышал только на выборах, когда кто-то начитает баллотироваться в кандидаты президента или депутата постоянно слышится это слово мандат. А вообще на вики есть отдельная статья.

dimcoin ()

Зачем нужен

Чтобы когда ты кликнул на email с html payload, который запустит на твоём древнем дырявом встраиваемом webkit'е произвольный код, он смог от силы стырить твой пароль приложения для почты, который ты потом отзовёшь.

aidaho ★★★★★ ()
Ответ на: комментарий от dimcoin

Это означает «запрещено всё, что не разрешено».

Веб-браузер под системой управления доступом может и рад отправить твои биткоины и пак с котиками на китайский сервер, но так вышло, что читать и писать ему можно только в директорию с загрузками.
Даже пароль от рута, любезно предоставленный пользователем, в этом деле ему не поможет.

aidaho ★★★★★ ()

Если все его предпочитают отключать ?

Это потому что есть apparmor.

King_Carlo ★★★★★ ()

Если все его предпочитают отключать ?

вопрос этот задается регулярно в т.ч. на англоязычных бордах. ответ примерно такой: он нужен для сертификации для поставки в федеральных учреждения США, также как альту иногда нужна сертификация от ФСБ.

мало людей, которые selinux используют. еще меньше людей, которые способны не просто оставить его включенным по дефолту, а объяснить, какие реальные задачи они решают, рассказать про потенциальный вектор атаки и прочее-прочее. в банках, может быть.

crypt ★★★★★ ()

Зачем нужен линукс если все предпочитают виндовс

mos ★★☆☆☆ ()
Ответ на: комментарий от aidaho

Веб-браузер под системой управления доступом может и рад отправить твои биткоины и пак с котиками на китайский сервер, но так вышло, что читать и писать ему можно только в директорию с загрузками.

[пример того, о чем я пишу выше] да твой браузер и так имеет кучу полномочий с доступом к dev, просто чтобы работать. а для твоего случая selinux не нужен, достаточно простого chroot.

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от crypt

еще меньше людей, которые способны не просто оставить его включенным по дефолту, а объяснить, какие реальные задачи они решают

Так ведь многие и не замечают, что он включен, пока не начинают ствить-компилять софт, которого нет в репозиториях. У всего софта в репозитории политики в комплекте идут. Так что «оставить включенным» — не достижение.

i-rinat ★★★★★ ()
Ответ на: комментарий от i-rinat

я бы вообще перефразировал вопрос ТС и спросил бы в треде: кто может привести пример, когда [у него] была зафиксирована атаки и selinux не позволил развить вектор. вот это вполне осмысленный вопрос.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

с доступом к dev, просто чтобы работать

И что ты сделаешь с доступом к звуковухе и drm? Камеру поюзать можно, но это явно лучше, чем полный доступ к хомяку пользователя.

а для твоего случая selinux не нужен, достаточно простого chroot.

chroot не особо-то надёжная штука. Лучше какой-нибудь bubblewrap или вообще flatpak, который использует selinux.

Но то, что можно сделать альтернативное решение не отменяет одного из юзкейсов selinux.

Ivan_qrt ★★★★★ ()
Ответ на: комментарий от crypt

Антипрививочники примерно так и мыслят.

Deleted ()
Ответ на: комментарий от Deleted

а сторонники прививок часто забывают о побочных эффектах)

crypt ★★★★★ ()
Ответ на: комментарий от crypt

А есть еще коллективный иммунитет – если почти у всех будет selinux, то атаки не будут в лоб делать, так что меньшинству без seliux ни чего не грозит.

mandala ★★★★ ()
Ответ на: комментарий от mandala

еще одно глупое высказывание. у меня вопрос, ты сам видел хоть раз атаку и selinux? вообще взлом сервера видел?

crypt ★★★★★ ()

Мне не нужен, я apparmor юзаю, т.к. у меня Ubuntu. Нужен для ограничения некоторых в первую очередь проприетарных приложений. Раньше скайп, вроде, оборачивал в такую штуку, чтобы он не лазил в директории браузеров и не читал историю.

peregrine ★★★★★ ()
Ответ на: комментарий от peregrine

это по-моему даже я много раз писал тут об этом) что мол шарится, блокируйте)

crypt ★★★★★ ()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от crypt

Сейчас не знаю, шарится или нет, я уже 2 года скайп только в винде видел.

peregrine ★★★★★ ()
Ответ на: комментарий от crypt

Там ладно, тебя все мягко послали и не стали ни разжевывать, и не дали развернутых пруфов. А тут то?

Ну представь, что 99% linux-систем обмазаны selinux по самое не могу. Даже тупо сбрутив пароль дальше в скрипте будет уже учтено, что тут эта зараза и дальше оно полезет исходя из этого соображения. Согласен?

Вот так и работает коллективный иммунитет. Он и сейчас так работает на десктопах, например, яркий пример: 99,9% «зловредов» рассчитаны на то что у пользователя windows, потому можно практически спокойно сидеть на linux-desktop без антивирусов (но вон Зенитар ловил и под линукс, теперь с антивирусом), и без всяких selinux. Обычный десктоп «домохозяйки» – это Неуловимый Джо и ему ни чего не угрожает.

mandala ★★★★ ()
Ответ на: комментарий от mandala

Даже тупо сбрутив пароль дальше в скрипте

какой пароль? в каком скрипте? поток сознания какой-то. никто не спорит, что десктопные вирусы делают под винду. проблема в том, что ты не понимаешь, как работают атаки на linux, какие они бывают и т.д. а я этим интересовался еще до того, как ты сел за компьютер (в 200х каком-то там занял место на CC в питере, если тебе это интересно). и мое имхо, что selinux практически ни от чего не защищает. для его эффективности требуется интеграция с тем, что он собсно защищает. это не только подгонка политки, но и модификация самого приложения.

Там ладно, тебя все мягко послали и не стали ни разжевывать, и не дали развернутых пруфов.

нет, дорого, это я тебя вытащил из бана в том треде потому что надеялся на пруфы и факты, а теперь отправлю назад, чтобы глупости не читать:)

crypt ★★★★★ ()
Ответ на: комментарий от crypt

Какой пароль? На ссш. Кто сбрутит? Скрипт. Зачем? Спам рассылать, биткойны майнить, зашифровать все нафик и просить биткойны для выкупа. А целевые атаки – это другое, и штатные политики тут конечно не защитят, согласен полностью.

а теперь отправлю назад, чтобы глупости не читать:)

Фы, мне то как раз все равно, это ты мне постоянно указываешь что игноришь меня.

mandala ★★★★ ()
Ответ на: комментарий от peregrine

ну потому что его угробили, поэтому ты его и не видел. я тоже его году в 14 последний раз запускал, а теперь веб версией пользуюсь.) опять же в отдельной сессии, чтобы оно CEO-задачи не могло выполнять) вебверсия - это черный юмор такой... 3 стиля смайликов на одной странице... сообщения случайным образом приходить или не приходят в два разных окна и т.д. ну в общем пользуемся:)

crypt ★★★★★ ()
Ответ на: комментарий от greenman

в треде по редхату мало активности было и туда обычно флудеры не ходят (тема не та). ну я и вытащил, в конце концов форумчане же учатся потихоньку.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

а для твоего случая selinux не нужен, достаточно простого chroot.

Для меня проще apparmor, т.к. он легче конфигурируется для персонального использования и заворачиваемый софт не требует явного вызова через chroot.

aidaho ★★★★★ ()
Ответ на: комментарий от crypt

кто может привести пример, когда [у него] была зафиксирована атаки и selinux не позволил развить вектор. вот это вполне осмысленный вопрос

Какая-то официальная приблуда от AWS (точно не помню, но то ли awsebcli) в разрабатываемом проекте попробовала прочитать мой личный git репозиторий.

Умом то оно понятно, что просто шло и увидело по дороге, но всё равно мило.

aidaho ★★★★★ ()
Ответ на: комментарий от aidaho

да, я тоже его вместе со скайпом использовал. действительно, он проще, чем selinux и в этом его достоинство. в смысле, что безопасность и удобство всегда конфликтуют.

crypt ★★★★★ ()

На локалхосте всегда делаю apt purge -y apparmor, но на серверах оно скорее нужно чем нет.

WitcherGeralt ★★ ()
Ответ на: комментарий от King_Carlo

Нет. У меня никакого мусора (кроме слака на рабочем компе) не установлено, а угнать можно разве что переписку из гаджима. Зачем париться?

WitcherGeralt ★★ ()

Для сертификации нужен. В организациях, где есть специально обученная оплачиваемая должность security officer (не админ и не разработчик). Им не лень и политики написать, и софт под них модифицировать.
Зачем остальным? Такие организации поштучно пересчитать можно, поэтому эффекта качества и проработанности от числа юзеров не добиться (спецрешения всегда выливаются в формальное УГ). Поэтому шляпа и тестирует его на всех остальных.

snizovtsev ★★★★ ()
Ответ на: комментарий от crypt

Когда-то давно я участвовал в сборке спецдистрибутива для запуска одной большой и страшной утилиты. И там были жёсткие требования к безопасности. Помимо того, что мы использовали дефолтные политики selinux, мы ещё писали политики для этой самой утилиты. Так вот в процессе, когда всё было готово, и политики включили, утилита стала падать. После анализа логов selinux выяснилось, что она при старте пытается прочитать /etc/passwd, куда разумеется доступов в политиках не выдавалось. Пнули авторов утилиты, проанализировали код и выяснили, что там какими-то хитрыми костылями оно пыталось выяснять UID и GID пользователя, из-под которого запущено. Переписали код по-человечески и всё заработало.

Это, конечно, не совсем такой пример, как ты просил, но пример того, как потенциальную дыру в безопасности закрыли.

shell-script ★★★★★ ()
Ответ на: комментарий от shell-script

спасибо, имхо этот пример совершенно не связан с закрытием потенциальной дыры (обращение к /etc/passwd является абсолютно нормальным и легитимным в повседневной работе), зато явно подтверждает мои слова, что эффективное использование selinux предполагает адаптацию приложения.

crypt ★★★★★ ()
Ответ на: комментарий от crypt

Не совсем верный вывод. Конкретно в данном случае с помощью selinux мы выявили, что утилита лезет к файлу, к которому она по спецификации не должна была лезть. Не важно какой это файл. Например, если у тебя выключен selinux, ты не узнаешь, что твой браузер или мессенджер уже давно прочитал и отправил содержимое твоего ~/.ssh/ и ~/.bash_history каким-нибудь китайским хакерам и они уже давно положили на твой сервак спамбота. С selinux этого не случится, а у тебя в логах появится сообщение о неразрешённом поведении программы.

shell-script ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)