Я, естественно, про новые версии...

> ты веришь что rwx достаточно?

Достаточно для чего? Для моих нужд достаточно, для других - может быть и недостаточно.

Кстати, сколько видов доступа к файлам есть в Win32?

Чтение/запись, чтение, системный (никто не может обращаться). Вроде так, если не ошибаюсь.

В отличие от много другого, система, подобная AppArmor _должна_ быть в ядре.
Чем AppArmor лучше SELinux? Зачем вообще AppArmor в ядре, если в нём уже есть SELinux?

Ахха

Особенно подчеркивает ненужность бубунты и каноникала вообще дистровотч.ком

Лютая, бешеная ненужность.

да там кастомный монстр

собсно почитать можно здесь http://wiki.services.openoffice.org/wiki/Build_Environment_Effort/New_Build_S... (я узнал обо всем этом из списка рассылки)

>Теперь из МСВС выкинут __свои мандатные костыли__ и будут пользоваться ванильными?


слишком толсто

Благодарствую, почитаем, почитаем..

>В отличие от много другого, система, подобная AppArmor _должна_ быть в ядре.

Она уже там с 2.6.30. Называется TOMOYO2. По простоте настройки не уступает AppArmor'у, а по полезным плюшкам — уделывает его.

Так что в ядро благополучно суют бесполезный велосипед.
Когда-нибудь оно лопнет и забрызгает всех, кто не успеет отскочить.

> Пользоваться дистрибутивными пакетами, в т.ч. и ядром.

Это не всегда возможно :-( Приходится как-то выкручиваться и сидеть на ванильном.

Ага, почитал, пасиб!
Я так понял, какая-то хитрая часть билда (созданная, видимо, в обход тупого make) написана на Перле, по поводу чего идёт фееричный коммент:

«The current build system has fat dependencies. It depends directly on Perl and dmake»

:) Такой тупизны от разрабов я не ожидал... Мало того, что Перл - это практически стандартный язык в поставке любого дистра, так он ещё и «язык», т.е. универсальный инструмент, а не какая-то перделка типа awk! Сетовать на зависимость от Перл - это вообще не понимать юниксвэй.

В любом случае, маке мне ну никак не нравится - слишком убогий для современных задач.

Ах, модуль... Моя ошибка, не обратил внимания на «патчи, обеспечивающие _поддержку_»

> Мы здесь. Спрашивай свои вопросы.

:) Тык уже спросил! Вот есть ваш посикс, которого все придерживаются як дитё юбки. Вопрос: А СМЫСЛ? Текущая тема - прекрасный иллюстратор того, что идеи 30-летней давности УСТАРЕВАЮТ (не говоря о тех идеях, которые были ущербны изначально, например «rwx»). А ещё колом в Ж линукса идут РАЗНЫЕ ОБЛАСТИ ПРИМЕНЕНИЯ - от встраиваемых в коробочку рутеров до многотысячных вычислительных ферм и в каждой из них свои противоречащие требования.

Я конкретно за что выступаю? За радикальные улучшения среды: убрать «мусор», устаревшие программы, что-то скомбинировать, что-то сделать по-другому, чтобы не тянуть весь этот хлам ещё 30 лет (Посмотрите на пример Gobo-линукса). Люди, «избалованные» нормальной средой (оффтопиком), не будут с вами обсуждать достоинства vim'а времён чёрно-зелёных терминалов - для них Линукс проще закопать, чем изучать. Так что Посикс - это ваш чемодан без ручки, мешающий бежать быстрее винды.

дело не в убогости перла. а в убогости системы сборки. GNU make же гораздо быстрее, имеет много полезных плюшек для сборки и очень хорошо параллелится (мне так и не удалось запустить параллельную сборку с dmake)

>Так что Посикс - это ваш чемодан без ручки, мешающий бежать быстрее винды.

выкиньте посикс, и потеряете огромный рынок расчетных программ

АппАрмор - не нвовость! Все сусеводы знают ибо он во всех сусях искаропки! и настраивается в ясте!

я не понял, в чем наезд на rwx. Для своего отдельно взятого файла мне проще задать позиксовые права, чем настраивать selinux или что-нить еще

>Посмотрите на пример Gobo-линукса

им кто-то пользуется? отказ от FHS дал какую-то реальную пользу (кроме путаницы, где чего лежит)?

> Вот есть ваш посикс, которого все придерживаются як дитё юбки.

(зевая) ну ты-то взрослый уже, ты-то его не придерживаешься. Так что тебя беспокоит?

А ещё колом в Ж линукса

К психологу не пробовал обращаться по поводу анальной фиксации?

идут РАЗНЫЕ ОБЛАСТИ ПРИМЕНЕНИЯ - от встраиваемых в коробочку рутеров до многотысячных вычислительных ферм и в каждой из них свои противоречащие требования.

Они пртиворечат POSIX разве что внутри твоей головы.

Я конкретно за что выступаю? За радикальные улучшения среды: убрать «мусор», устаревшие программы, что-то скомбинировать, что-то сделать по-другому, чтобы не тянуть весь этот хлам ещё 30 лет

Можешь сначала потренироваться на удалении хлама из Win32. Ему всего 20 лет, задача должна быть полегче.

posix acl есть такая вещь.

> Особенно подчеркивает ненужность бубунты и каноникала вообще дистровотч.ком

Месье путает два слова «ненужность» и «популярность»?
Ничего, бывает.
Мосье путает слова «ненужность» и «бесперспективность»?
Ничего, бывает.
А ещё, мосье, поделитесь, как бесперспективность аппармора, внезапно вылилась в ненужность бубунты и каноникла.

> Что за привычка всё совать в ядро.
/usr/src/linux/Documentation/stable_api_nonsense.txt

>>Скоро ядро будет собираться дольше, чем опенофис.

Гентушники привыкли, остальным пофигу

Гентушники давно отключили всё ненужное в ядре и собирают его за пару минут.

>Плюс еще вайн с джавой!

wine уже засунули.
http://www.longene.org/

о, старый друг)
кстате на тему ядра, как там дела с монолитами? )

Скоро в ядро встроят опенофис

> кстате на тему ядра, как там дела с монолитами? )
Не понял вопрос. Как в Генту дела с монолитными ядрами? Ну linux kernel как бэ всегда был монолитным и им остался :)

> Скоро в ядро встроят опенофис
Опенофис наврядли, а вот иксы вполне возможно туда переедут когда-нибудь. И так уже много чего в последнее время в ядро перетащили из юзерспейса.

> Я, естественно, про новые версии...

А какое ядро в новой версии? Я находил упоминания 2.4.32 (в 3.0r14), но про 3.0r16 ничего (кроме того, что она 2008 года)

> а по полезным плюшкам — уделывает его

Ссылки на тесты в студию

>Ссылки на тесты в студию

Какие еще тесты? Я что, похож на похороникс?

Попробуй и то и то в боевых условиях, сам поймешь.

3.0r14 - это уже не новая, это мейнстрим.

Сейчас грядёт 5.0...

Рефлекс при упоминании AppArmor

/etc/init.d/apparmor stop
update-rc.d -f apparmor remove
aptitude remove apparmor apparmor-utils

Хотя раз тулят это даже в ядро - наверное оно зачем-то нужно. Зачем? Кто знает реально нужный, работающий пример применения AppArmor?

>ты веришь что rwx достаточно?

Как правило да.

Если недостаточно, никто не мешает включить POSIX ACL. Или не осилили?

>Зачем? Кто знает реально нужный, работающий пример применения AppArmor?

Кстати да, мне тоже интересно. Могут ли, и если могут, то как именно мне помогут SELinux, AppArmor и YAMA на примере защиты от заведомо враждебного трояна libflashplayer.so?

> Могут ли, и если могут, то как именно мне помогут SELinux, AppArmor и YAMA на примере защиты от заведомо враждебного трояна libflashplayer.so?

Смотря как ты собираешься его ограничивать, и смотря в какой версии FF он работает.

>Смотря как ты собираешься его ограничивать

Очевидно же - ничего нельзя писать и читать, кроме ~/.adobe/Flash_Player/ . Можно рисовать окно, играть звук, юзать http (и то, под вопросом). Вебкамера флешу не нужна. Нельзя делать скриншоты, пускать программы, вообще короче ничего нельзя.

и смотря в какой версии FF он работает.

Для простоты считаем, что он всегда пускается отдельным процессом-враппером.

>> Смотря как ты собираешься его ограничивать

Очевидно же - ничего нельзя писать и читать, кроме ~/.adobe/Flash_Player

Думаю, это невозможно. Читать /lib и /usr/lib ему по-любому нужно.

Для простоты считаем, что он всегда пускается отдельным процессом-враппером.

Тогда файловую систему можно защитить очень хорошо - то есть пароли к порносайтам он не украдет %)

>> Пользоваться дистрибутивными пакетами, в т.ч. и ядром.

Это не всегда возможно :-( Приходится как-то выкручиваться и сидеть на ванильном.

Дистрибутивным - значит из дистрибутива, а не из слаки.

>Могут ли, и если могут, то как именно мне помогут SELinux, AppArmor и YAMA на примере защиты от заведомо враждебного трояна libflashplayer.so?

SELinux может просто заблокировать доступ FF,Opera,etc к этому модулю. Что могут остальные секьюрити-модули не знаю, т.к. не работал.

Основная фишка SELinux это разграничение доступа по схеме MLS. Т.е для каждого отдельного уровня безопасности свои права доступа. Например, группа 1000 может запускать FF, а группа 1020 уже нет. По большей части это касается работы с документами повышенной секьюрности.

Почитать больше про MLS можно, например, здесь:
http://www.linuxshare.ru/docs/security/selinux/selinux2.html

В домашних условиях удобно запускать всякие троянчики и глядеть в audit.log, там сразу пишется вызываемые системные вызовы, обращения к файлам и т.п. полезная инфа. А также позволяет создавать sandbox'ы для приложений типа FF, отдав права браузеру лишь на доступ к своим файлам и на чтение/запись в какую-нить временную директорию.

В серверных решениях SELinux тоже полезен, дырка в форуме не позволит апачу вылезти за описанные заранее директории, выполнять определенные системные вызовы и т.п.

> Дистрибутивным - значит из дистрибутива, а не из слаки.

У меня Федора, считаю это дистрибутивом и менять не планирую. Что-то они там начиная с 12-й намудрили, что wifi (ath9k) стал работать отвратительно. На ванильном такого нет. С удовольствием бы вернулся на дистрибутивное, но wifi важнее. Хотя нужно будет попробовать, может уже и починили.

Нужно-нужно. Пусть тащат в ядро. Ассортимент _работающих_ альтернатив никогда ещё не был минусом.

Пока вы тут троллите AppArmor уже добавили в ядро:)

>>> Смотря как ты собираешься его ограничивать

Очевидно же - ничего нельзя писать и читать, кроме ~/.adobe/Flash_Player

Думаю, это невозможно. Читать /lib и /usr/lib ему по-любому нужно.

Зачем? Читать из /lib и /usr/lib нужно проге, которая его запускает. А трояну их читать вредно.

12309 пофикшен

а тем временем...

Да я в локальном масштабе)