LINUX.ORG.RU

В SUSE добавят SELinux

 , , , ,


0

0

Отличная новость для экспертов и энтузиастов в безопасности, а также просто параноиков!

В openSUSE 11.1 будет добавлена базовая поддержка SELinux. В SLE также будет включен SELinux как technology preview.

По умолчанию, как и прежде, будет устанавливаться AppArmor, а SElinux пользователи смогут включить самостоятельно.

Под базовой поддержкой понимается:

  • Ядро с поддержкой SELinux.
  • Патчи для распространённых пользовательских пакетов.
  • Библиотеки, которые требует SELinux (libselinux, libsepol, libsemanage, etc.), будут добавлены в openSUSE и SLE.

Утилиты и политики для работы с SELinux не будут поставляться на носителях, а будут доступны лишь из онлайнового репозитория и будут предназначены прежде всего для тестеров.

>>> Подробности

Re: В SUSE добавят SELinux

Гм... искренне считал, что selinux уже везде и повсеместно... ;)

От что значит "узкий кругозор"...

Slavaz ★★★★★ ()

Re: В SUSE добавят SELinux

селинукс ненужен, ибо не дает БЫСТРО поднять хостинговый сервак а-ля "все в одном"

anonymous ()

Re: В SUSE добавят SELinux

s/оддержка/поддержка/

LebedevRI ()
Ответ на: Re: В SUSE добавят SELinux от Slavaz

Re: В SUSE добавят SELinux

Это обычное явление. Шапоковцы начинают пропихивать
оттачивают и вылизывают. Все их ругают ...
Потом постепенно устаканивается это начинают пихать ( через пару лет )
во всякие дебианы и сусы( которые для Линуха не фига ничего не делают )
а потом все говорят что Федора такое г .... а дебиан круть !
Можно много чего вспомнить по этому поводу : переход на 4 гсс,
у8 ну и т.д.

http://www.linux.org.ru/jcaptcha.jsp

anonymous ()

Re: В SUSE добавят SELinux

>Отличная новость для экспертов и энтузиастов в безопасности. а так же просто параноиков!

порадовало

Correctnoe_imya_polzovatelya ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>Это обычное явление. Шапоковцы начинают пропихивать оттачивают и вылизывают. Все их ругают ...

Должны же быть бетатестеры...

>Потом постепенно устаканивается это начинают пихать ( через пару лет ) во всякие дебианы и сусы( которые для Линуха не фига ничего не делают )

И правильно делают-работать, черные обезьяны, до захода солнца еще далеко.

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>Потом постепенно устаканивается это начинают пихать ( через пару лет )
во всякие дебианы и сусы( которые для Линуха не фига ничего не делают )

Red Hat и Novell делают одинаковый вклад в СПО

srgaz ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

Да-а, пол-года одну проблему искали, оказалось - селинукс. Проблема такая: blowfish девять раз шифрует/расшифровывает нормально, на десятый - выдаёт лажу. И хоть тресни. Как догадаться, что это селинукс? ОС CentOS 5. Нашли, когда выяснили, что запущенный из консоли php коннектится к удалённым mysql-серверам, а запущеный из вебс-сервера - нет.

Причём, ни разу не видел примера, чтоб наличие селинукса спасло от такого чего-то, что непременно бы сломало обычный линукс.

Вывод: на кой он чёрт нужен?

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

Что-то только и слышно, что от него одни проблемы. Какой от него реальный толк так никто и не поделился.

madcore ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>во всякие дебианы и сусы( которые для Линуха не фига ничего не делают )

4,2

PS Тоньше

gnomino ()
Ответ на: Re: В SUSE добавят SELinux от gnomino

Re: В SUSE добавят SELinux

> PS Тоньше

Давай несколько примеров для Дебиана и Сусе что они сделали для ГНУ/Линукса .... Дебиан хоть отдельный дистрибут а Сусе так вообще вырос из Слаки после того как туды добавили рпм ...

http://www.linux.org.ru/jcaptcha.jsp

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от gnomino

Re: В SUSE добавят SELinux

а чем им apparmor не угодил то? класная штука, уже привык к нему

sansei ()

Re: В SUSE добавят SELinux

Не прошло и сколько-то там лет...

jackill ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>Давай несколько примеров для Дебиана и Сусе что они сделали для ГНУ/Линукса .... Дебиан хоть отдельный дистрибут а Сусе так вообще вырос из Слаки после того как туды добавили рпм ...

Убейся ап стенку неудачник но перед этим сходи на http://google.com это такой поисковик он тебе поможет найти ответы на твои тупые вопросы, ОК?

sansei ()

Re: В SUSE добавят SELinux

>Microsoft и Novell объявили о новой совместной инициативе. Софтверный гигант заплатит $100 млн за сертификаты Novell SUSE Linux для обеспечения совместимости своих продуктов с открытым ПО...

>В SUSE добавят SELinux

Что творят! Что творят!

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>селинукс ненужен, ибо не дает БЫСТРО поднять хостинговый сервак а-ля "все в одном"

быстроподнятый сервак, особенно "все в одном" имеет шанс быстро пополнить бот-нет.

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>Давай несколько примеров для Дебиана и Сусе

Статистику патчей ядра глянь, хотя бы. Нет бы самому что сделать... лучше на форумах газы пускать?

gnomino ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>Причём, ни разу не видел примера, чтоб наличие селинукса спасло от такого чего-то, что непременно бы сломало обычный линукс.

>Вывод: на кой он чёрт нужен?

Навскидку из http://www.linuxworld.com/news/2008/022408-selinux.html

For example, one vulnerability in the Hewlett-Packard Linux Imaging and Printing Project's software would have allowed an attacker to run arbitrary commands as root. However, according to the company's security advisory on the bug, "On Red Hat Enterprise Linux (RHEL) 5, the SELinux targeted policy for hpssd which is enabled by default, blocks the ability to exploit this issue to run arbitrary code."

Dan Walsh, an SELinux developer at Red Hat, covered another, higher profile mitigation on his blog. Samba, the software that acts as a file server for Microsoft Windows systems, had a vulnerability that would have allowed an attacker to run commands as root. However, "while the exploit might be able to take advantage of a buffer overflow, when the attacker tries to execute the code, SELinux would stop it," he wrote.

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от sansei

Re: В SUSE добавят SELinux

аппармор - неюзабельная дрянь... то, что ты к нему привык это доказывает...

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>Вывод: на кой он чёрт нужен?

Как зачем ? чтоб было запутаннее и нужны были всякие курсы за бабло - как настраивать, как программировать и т.п. А больше не за чем.

vtVitus ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от vtVitus

Re: В SUSE добавят SELinux

+1 ну и заодно, типа дайте нам денег, мы мега сервак подымем с ниипаться штукой мандатной...

anonymous ()

Re: В SUSE добавят SELinux

Тут многие отписались "нафиг не нужно"... у меня вопрос: многие ли тут реально настраивали selinux? Создавали политики безопасности? Щупали selinux-MLS (да-да, военные и прочие "секретники" будут просто пищать)?
"Оно не нужно" - говорите, пожалуйста, только за себя: "мне не нужно".

Мне - нужно. Для большей уверенности в колокейшн-серваках, для начала... для ведения своего бизнеса с "секретниками" и т.д. Думаю, зарисоваться на следующем LVEE с докладами по настройке selinux...

P.S. Под "настройкой" я не имею ввиду "setenforce 0"... ;)

Slavaz ★★★★★ ()

Re: В SUSE добавят SELinux

SELinux не ставит своей целью защиту от эксплоитов ядра, т.к. АНБ тоже хочется кушать => фтопку. Всем на grsecurity - вот где Безопасность.

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от Slavaz

Re: В SUSE добавят SELinux

> многие ли тут реально настраивали selinux?

После того, как я понял, что не могу понять как заставить дочерние процессы наследовать ulimit -n (надо было апачу и его детям), selinux у меня настраивается только как =disabled.

Casus ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от vtVitus

Re: В SUSE добавят SELinux

>>Вывод: на кой он чёрт нужен? > >Как зачем ? чтоб было запутаннее и нужны были всякие курсы за бабло - как настраивать, как программировать и т.п. А больше не за чем.

Крут. Сказал - как отрезал. http://www.awe.com/mark/blog

An update to OpenPegasus (January), where a remote attacker who can connect to OpenPegasus could cause a buffer overflow. The Red Hat Security Response Team believes that it would be hard to remotely exploit this issue to execute arbitrary code, due to the default SELinux targeted policy, and the default SELinux memory protection tests.

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

> The Red Hat Security Response Team believes

Дальше можно не читать. Я тоже верю что мой быдлокод неуязVIM.

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

anonymous> Давай несколько примеров для Дебиана и Сусе что они сделали для ГНУ/Линукса

Debian - полностью свободный и стабильный дистрибутив, плюс хорошая база для других дистрибутивов. Это как минимум. А ЗюЗЯ - это новелл.

Quasar ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от Quasar

Re: В SUSE добавят SELinux

> Debian - полностью свободный и стабильный дистрибутив, плюс хорошая база для других дистрибутивов.

Дебиан - причина возникновения всяких бубунт => его надо ненавидеть.

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

Правильно, не надо читать. И думать тоже. Надо просто верить что SElinux ничего не блокирует.

anonymous ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

> селинукс ненужен, ибо не дает БЫСТРО поднять хостинговый сервак а-ля "все в одном"

а мужики-то и не знали :)

phasma ★☆ ()
Ответ на: Re: В SUSE добавят SELinux от Slavaz

Re: В SUSE добавят SELinux

> selinux-MLS (да-да, военные и прочие "секретники" будут просто пищать)

До сих пор - не пищат. И перспектив пищать не видно.

tailgunner ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от tailgunner

Re: В SUSE добавят SELinux

> До сих пор - не пищат. И перспектив пищать не видно.

аргументация?

Slavaz ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от Slavaz

Re: В SUSE добавят SELinux

>> До сих пор - не пищат. И перспектив пищать не видно.

> аргументация?

Мне неизвестны круто сертифицированные дистры с SELinux, мне также неизвестно о разработке таких дистров. А военные и спецслужбисты - параноики совершенно клинические, и предпочтут велосипед отечественного производства SELinux, сделанному в NSA.

tailgunner ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

>Причём, ни разу не видел примера, чтоб наличие селинукса спасло от такого чего-то, что непременно бы сломало обычный линукс.

Больше половины экслоитов не работают. Если бы еще выпускали вариант дистрибутивов со включенной поддержкой NX-бита, вообще было бы классно.

Проблемы, несомненно, тоже есть. Например, при использовании апача в ряде случаев нужно вырубать.

jackill ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от phasma

Re: В SUSE добавят SELinux

>а мужики-то и не знали :)

Есть проблемы при работе ndbd в кластерном варианте MySQL.

jackill ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от tailgunner

Re: В SUSE добавят SELinux

> Мне неизвестны круто сертифицированные дистры с SELinux, мне также неизвестно о разработке таких дистров.
Мне известно о разработке, но говорить об этом... как бы сказать.. я не могу. :)

> А военные и спецслужбисты - параноики совершенно клинические,
+1. Но такова их работа. Кому-то нужно быть клиническим параноиком, чтобы кто-то другой мог быть великовозрастным младенцем...

> и предпочтут велосипед отечественного производства SELinux, сделанному в NSA.
-1. Главное и основное требование - исходники. Как они там их будут "шмонать" и есть ли у них люди с необходимым скиллом - мне неизвестно. Но исходники должны быть, как основное условие проверки на НДВ (НеДокументированные Возможности) и для проведения ПО по категории безопасности. Сопроводительная документация по ГОСТам - это отдельная тема для долгого плача в жилетку... :(

Единственный велосипед - ГОСТовые алгоритмы криптографии...

Slavaz ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

> которые для Линуха не фига ничего не делают ...кроме человеческого лица.

после 4х лет дебиана на ноут (acer aspire one) поставил сюсю и радуется. чего только стоит поддержка железа которое мне нужно из коробки, пакеты сжимаемые lzma, дельта-пакеты и почти ежедневная сборка компонентов KDE4. после установки составил 5 реквестов по улучшению которые надеюсь будут удовлетворены к 11.1

shafff ()
Ответ на: Re: В SUSE добавят SELinux от Slavaz

Re: В SUSE добавят SELinux

>> Мне неизвестны круто сертифицированные дистры с SELinux, мне также неизвестно о разработке таких дистров.

>Мне известно о разработке, но говорить об этом... как бы сказать.. я не могу. :)

Значит, считаем, что их и не разрабатывают.

>> и предпочтут велосипед отечественного производства SELinux, сделанному в NSA.

>-1. Главное и основное требование - исходники. Как они там их будут "шмонать" и есть ли у них люди с необходимым скиллом - мне неизвестно. Но исходники должны быть, как основное условие проверки на НДВ (НеДокументированные Возможности) и для проведения ПО по категории безопасности.

И что? У них будут исходники и любого доморощенного велосипеда. Но _только_ у них эти исходники и будут.

> Единственный велосипед - ГОСТовые алгоритмы криптографии...

Они по крайней мере опубликованы.

tailgunner ★★★★★ ()

Re: В SUSE добавят SELinux

Из Википедии:"SELinux был разработан Агентством национальной безопасности США и затем был передан разработчикам открытого кода.

Мне одному кажется, что здесь где-то должен быть подвох?

neurosurgeon ()
Ответ на: Re: В SUSE добавят SELinux от neurosurgeon

Re: В SUSE добавят SELinux

> Мне одному кажется, что здесь где-то должен быть подвох?

Нет, не тебе одному. Правда, лично я думаю, что это только кажется.

tailgunner ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от tailgunner

Re: В SUSE добавят SELinux

>>Мне известно о разработке, но говорить об этом... как бы сказать.. я не могу. :)
> Значит, считаем, что их и не разрабатывают.

Простите, но похоже на позу страуса... :) Как там в одном тематическом фильме было? "Видишь суслика? Нет? А он есть..."

>>-1. Главное и основное требование - исходники. Как они там их будут "шмонать" и есть ли у них люди с необходимым скиллом - мне неизвестно. Но исходники должны быть, как основное условие проверки на НДВ (НеДокументированные Возможности) и для проведения ПО по категории безопасности.

>И что? У них будут исходники и любого доморощенного велосипеда. Но _только_ у них эти исходники и будут.


Насколько я понял, основная мысль в фразе: "ложить секретчики хотели на GPL". Тут я согласен, в этой сфере девиз "цель оправдывает средства" силён как нигде. И помешать государству (пусть и людям, которые представляют это государство) может только другое государство. Ни Вы, ни я не сможем указать "особистам": "мужики, вот тут нарушение GPL... нужно опубликовать изменения".

Я не хочу сказать, что это нормально, я хочу сказать, что таковы реалии.

Slavaz ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от Slavaz

Re: В SUSE добавят SELinux

> да-да, военные и прочие "секретники" будут просто пищать

Не будут :]

vasily_pupkin ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от Slavaz

Re: В SUSE добавят SELinux

>>> Мне известно о разработке, но говорить об этом... как бы сказать.. я не могу. :)

>> Значит, считаем, что их и не разрабатывают.

> Простите, но похоже на позу страуса... :)

Как скажешь.

> Как там в одном тематическом фильме было? "Видишь суслика? Нет? А он есть..."

Как там в одно песне пелось? "У нас есть такие приборы! Но мы вам о них не расскажем".

> Насколько я понял, основная мысль в фразе: "ложить секретчики хотели на GPL".

Нет, это не основная мысль во фразе. Основная - "военные и прочие серьезные люди вполне могут получить для своего использвания доморощенный велосипед, который не продержался бы и часа на открытом review". Хотя нарушение GPL тоже не радует.

> Тут я согласен, в этой сфере девиз "цель оправдывает средства" силён как нигде.

А я не вижу цели, которую оправдывают такие средства.

tailgunner ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от jackill

Re: В SUSE добавят SELinux

> Есть проблемы при работе ndbd в кластерном варианте MySQL

ну как бы если не знать как настроить, то как бы и в кластере MySQL не запустишь.

phasma ★☆ ()
Ответ на: Re: В SUSE добавят SELinux от tailgunner

Re: В SUSE добавят SELinux

> Как там в одно песне пелось? "У нас есть такие приборы! Но мы вам о них не расскажем".

:) Намёк понял, настаивать не могу. Проехали.

> Нет, это не основная мысль во фразе. Основная - "военные и прочие серьезные люди вполне могут получить для своего использвания доморощенный велосипед, который не продержался бы и часа на открытом review".


Ну... в принципе да. Один из методов защиты - незнание... правда, совсем неэффективный при утечке. Но безопасность - это не только технические средства, но и административные. Впрочем, не буду отстаивать эту позицию - бесполезно, ибо "человеческий фактор" практически неисключаем.

Slavaz ★★★★★ ()
Ответ на: Re: В SUSE добавят SELinux от anonymous

Re: В SUSE добавят SELinux

> селинукс ненужен, ибо не дает БЫСТРО поднять хостинговый сервак а-ля "все в одном"

Да ладно, на сколько я понял эти все хостинговые серваки для простеньких сайтов - обычные себе виртуальные машины. Один раз настрой "всё в одном" и потом виртуалку просто чуть подпилить и всё (если простенький хостинговый сервак "всё в одном").

kost-bebix ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.