Ну и зачем теперь нужно это ваше разделение привилегий?

Ну как бы MAC придуман как раз для того, чтобы добавить безопасность поверх DAC.

P.S. «Абсолютно безопасной следует считать выключенную систему, отключенную от сети и спрятанную в сейф. Но даже в этом случае меня не покидают сомнения» (ц)

Кхм. Еще раз: SELinux не помешает получить рута, он его (отчасти или полностью) сдержит потом.

хера лысого он потом сдержит, если какой то код получил привилегии рута - в payload можно засунуть что угодно.
вполне допускаю возможность написания руткита, который твой selinux просто не заметит.

В общем случае не следует рассчитывать на это

рассчитывать в идеале надо на бездырявость ядра, но это бесполезно.
линукс весьма дыряв, и последние случаи (kernel.org, mysql.com, hostgator etc) тому доказательство.
меня это печалит, но куда деваться?
и когда я слышу заявления типа тех, что в сабже, или отсюда, мне хочется или плакать, или валить с линукса (некуда) подальше.
как хорошо, что эти люди особого влияния на ведро не имеют.

или отсюда

Ну и зачем теперь нужно это ваше разделение привилегий? (комментарий)

если какой то код получил привилегии рута

...то это может не значить вообще ничего (вне зависимости от кровожаднгых намерений кода и его автора).

...то это может не значить вообще ничего (вне зависимости от кровожаднгых намерений кода и его автора).

ага, кроме компрометации всей системы и всех данных.

MAC был придуман для того, чтобы разрешить те проблемы с разграничением доступа, который не мог разрешить DAC. «Добавить безопасность» - может ввести в заблуждение

рассчитывать в идеале надо на бездырявость ядра, но это бесполезно.

Почему же бесполезно? Рассчитывайте. Ядерные эксплойты периодически проскакивают, но они редки и дороги, сильно зависят от таргета и при вменяемой гигиене их применение может стать невозможным. Если у вас терминальный сервер с открытым доступом есть смысл задуматься, конечно. В остальных случаях это немного не актуально.

и когда я слышу заявления типа тех, что в сабже, или отсюда, мне хочется или плакать, или валить с линукса

Я сказал только про то, что в случае пробоя не следует рассчитывать на средства разграничения доступа юзерспейса.

и последние случаи (kernel.org, mysql.com, hostgator etc) тому доказательство.

Я немного не в курсе, во всех этих случаях был локалрут, да?

ага, кроме компрометации всей системы и всех данных.

okay.jpg

если бы оттуда можно было извлечь финансовую выгоду, то не вариант что эта машина прожила бы до сих пор.
к тому же, она работает как ханипот, и никто не будет палить на ней свои приватные методы обхода

Ядерные эксплойты периодически проскакивают, но они редки и дороги, сильно зависят от таргета и при вменяемой гигиене их применение может стать невозможным.

редки? каждый год в паблике всплывает код, который дает рута почти везде.

Я сказал только про то, что в случае пробоя не следует рассчитывать на средства разграничения доступа юзерспейса.

плюсую

Я немного не в курсе, во всех этих случаях был локалрут, да?

угу

никто не будет палить на ней свои приватные методы обхода

Методы обхода чего - SELinux? По-моему, такой метод вообще никто не запалил за все годы. Что заставляет сомневаться в существовании самого метода.

По-моему, такой метод вообще никто не запалил за все годы. Что заставляет сомневаться в существовании самого метода.

abftw.c

Ты успел выпасть из контекста.

если какой то код получил привилегии рута
По-моему, такой метод вообще никто не запалил за все годы.

abftw.c имел опцию обхода selinux и вызывал /bin/sh с рутовыми правами как пример, но делать можно было что угодно и selinux бы не спас.
и где я выпал из контекста?