Я извиняюсь, а кроме гита и невнятного анонса у этой штуки что-нибудь типа документации есть? Прошел по ссылке «Подробности», подробностей не обнаружил.

Или чтобы понять, что это такое, надо почитать коммиты разработчика?

А ведь если подумать, то да, действительно. Среда выполнения любого интерпретирующего языка должна иметь возможность обращения к любому сисколлу. Ибо на этапе сборки интерпретатора заранее неизвестно, что будет использовать выполняемая программа. То есть для всяких перлов и питонов это работать не будет.

Не нужно...

Две?) Еще как минимум apparmor.

До релиза 12.04, потом еще недельку, а после все затихнет)

Блин вот ведь идиоты. Они вообще не подумали об этом. Хотя....

Странно что Perl можно вызывать как sudo perl xyz.pl или засовывать его в chroot. Конечно вызвать его как ssecomp_run /etc/profiles/xyz.pl.profile perl xyz.pl не получится.

Я видел Гном 3. Это отличный выбор для простых смертных.

Особенно если я хочу переключится между окнами и мне надо мышкой сначала в край экрана тыкать, а потом в окно. Да и окон у меня 200 штук... Юнити конечно гуано, но лучше чем гном 3

А кнопки Альт и Таб ты на клавиатуре выковырнул и выкинул?

В 3-м гноме они не работали.

«Но новости, которые содержат в заголовке „Ubuntu“ или „Canonical“, задолбали.»

Заметь, это претензия не к Ubuntu, а к остальным. :)

И что она делает?

Это - претензия к хомячкам.

Тем что, ее исполняет интерпретатор.

Безопасность - это важно, но не стоит сюда выкладывать каждый пердеж (разработчиков/Марка) убунты

И что она делает?

Готовый продукт из разрозненных запчастей.

Что люди не делают лишь бы не дорабатывть se linux, который имеет куда более широкие возможности и более широкое применение, но минус у него один, да - сложность.

ЛПП.

Хорошо. Тогда ответь на вопрос как быть с glibc? Её используют многие программы и часть программ не должна вызовы какие, то делать.

Что делать с Java? И почему sudo Прекрасно работает как и chroot несмотря на интерпретаторы?

О прекрасно. Я думал тут новостной сайт. Не подскажете где выкладываются новости по Ubuntu на русском языке?

УМВР

по нажатию Alt+Tab
http://ompldr.org/vZDV6ZA/screen_alttab.png

Ну да, давненько никто не постил про падения арчика после очередного обновления или про то, что «Патрег забухал?0_о».

Ты хотя бы раз видел это в новостях на главной?

Не плохой задел на будущее, когда доля Linux превысит 5% и малолетние крякеры начнут писать под нее свои шедевры.

Значит у тебя работает. Но панель всеравно отсутствует. Или ты чтонибудь типа tint2 используешь?

а на кой черт мне панель?) чтобы тратить время ради попасть мышкой в прямоугольник 0.5х2 см? нет, спасибо, не надо мне такого удовольствия.

Ерунда какая-то. Что там перл - любая программа использует все основные вызовы, «злоумышленнику» хватит.

Готовый продукт из разрозненных запчастей.

А почему получается такое говно?

Всё зависит от точки зрения.

Когда их 200 то табами не наешься.

Тем что, ее исполняет интерпретатор.

а интерпретатор это не программа?

Блин. Ты можешь фильтровать параметры. Скажем браузер может сохранять файлы ТОЛЬКО в Downloads и в каталог с кешем.

иногда полезно пропустить забаженый сискол.

закоментить одну строчку в программе и всё.

Они просто никак понять не могут что к одному и тому, же процессу можно применять разные фильтры в зависимости от нужды.

когда их 200, то их проще искать поиском, хотя бы алфавитным. Или запили себе бооольшое окно, на котором будут кнопки для вызова каждого из двухсот окон :)

Ты можешь фильтровать параметры

В недрах библиотек иногда происходят совершенно неожиданные вещи. У нас пишется система защиты информации, и иногда она срубает нормальные приложения - формально происходит попытка нарушения, и поди пойми, зачем приложению это было нужно.

Так что придется выбирать - либо глючащий софт, либо оставленные лазейки. Лучше, чем ничего, но подход принципиально не тот.

Разработчики? Это можно сделать на уровне мейнтейнера.

Ога. Осталось бубунту таки набрать собственных, а не тупо тырить пакеты из дебиана ;)

2) зачем нормальному мейнтейнеру использовать *это*, а не селинукс, который давно в штатном ведре с k.o?

запустил на логгирование. Написал профиль месяц на нем посидел.... Если все Ок в продакшн.

То есть для всяких перлов и питонов это работать не будет.

Не нужно...

для перлов и питонов не будет, а для бинарей будет

это не универсальная штука, но число потенциальных дыр закрыть поможет

В недрах библиотек иногда происходят совершенно неожиданные вещи.

тем не менее selinux как-то работает.

Можно подумать, что основная проблема Linux на десктопе-гипотетические проблемы безопасности.

Да работай ты на чём хочешь.

Блин, просто перепись придурков Начиная с Каноникал.

Где исследования? Где программа с этими фильтрами? Где попытки взлома/кражи данных?

Нет, давайте сразу в продакш. Новый слова увеличат продажи, и будут способствовать развитию вашего бизнеса бесплатно без смс.

Где исследования?

внезапно: исследования будут проведены на убунте

Нет, давайте сразу в продакш.

да, это ужасно, оно ж там так сильно будет мешаться

Разве в убунте есть селинукс?

да
http://packages.ubuntu.com/search?suite=lucid&searchon=names&keywords...

Так это же аппармор делает уже. Зачем нужен сабж? Не понятнет профит от его использования

Не прошло и тыщу лет.... Такой метод «предварительной защиты» был известен (мне) лет 10 назад: когда не при каждом вызове проверяется «а можно ли ему меня вызывать?», а делается всё вначале. Увы, но мелкософт с его семёркой даже близко к этому не подошёл.

Зенки разуй, код включен в Бету версию!

В в популярном случае уязвимости в сетевом демоне у программы есть write(), read(), open(), connect(), close().

Спасибо «универсальному» юниксвэю :))))) Ума-то сделать open для мильёна устройств хватило, а на секурити пупок-то и развязался!

А было бы модульное ядро и уникальные вызовы - можно было бы дать по рукам любителям вылезти в сеть за обновлениями или проверятелям чужих папок.

я за модульное ядро.

но вот уникальные вызовы - было бы минусом. ничего хорошего не было бы в том, чтобы каждый mount.mytroofs, mkfs.mytroofs, dd и т.п. были отдельно для образов в файлах, отдельно для физических разделов. и как бы тогда можно было сделать cat /boot/kernel > /dev/dsp?

как вы верно отметили, спасибо юникс-вею. имхо, адекватная цена за данную фичу. а для безопасности есть {selinux,apparmor,whatever}

Этой штуковиной можно только разрешать/запрещать системные вызовы или она еще позволяет их эмулировать?

> Ну да, давненько никто не постил про падения арчика после очередного обновления или про то, что «Патрег забухал?0_о».

Тут у нас воют постоянно, что мол, Каноникл ничерта не делает, а вот новости говорят об обратном.

Видимо логика такая: Каноникал не бухают - значит слабаки и ничего не делают.