Выключаете ли вы SELinux?

а в дебиане стэйбл это включено по умолчанию? где это посмотреть? кто обладает знаниями по теме напишите пож.

Не выключаю ибо

> $ eix -I selinux
Совпадений не найдено.

Выключаю, потому что не знаю, как он работает. Мне для безопасности хватает системы пользователей и стандартных юниксовых прав.

[V] Не включаю (и SELinux, и AppArmor)

это я так делаю на практике..

а в теории я очень симпатизирую этой SELinux

не выключаю не федоре. устанавливаю и включаю на дебиане. не трогаю на андроиде

по умолчанию не установлено. Нужно установить, проиндексировать, включить

☑ Не выключаю
☑ Не включаю

Использую везде с настройками по умолчанию. С Fedora поставляются политики для почти всех приложений и из коробки работает всё отлично.

боярин, а проверить то как?

дык да, то пароли палил, то теперь ядерную защиту растляет :(

[x] не включаю: в убунте/debian нет SELinux. А жаль

Поскольку (GNU/)Linux для меня enterpriZe средство зарабатывания денег, то я запрещаю эникейщикам выключать SELinux на серверах, исполняющих мои Java-приложения.

На CentOS/RHEL машинах не выключаю. Если какая-то программа капризничает - подкручиваю политику чтобы заработала. Так спокойней.

Компания 1С перестала выпускать конфиги SELinux после Debian 6. Поэтому приходится отключать, ибо настроить SELinux так чтоб небыло сюрпризов в сервере 1С, практически нереально.

Он там есть.

Перестали ли вы пить коньяк по утрам?

по утрам еще и не начинал, а вот по вечерам, иногда да

Выключаю, если включен.

Большего бреда, чем selinux, в общем-то и представить себе сложно.

Интересные разработчики однако...

В случае с 1С это конечно не так критично на мой взгляд: всё равно в интернет этот сервер не смотрит. Вся «интересная» информация и так в postgres, к которому у процесса 1C и так доступ есть и SELinux не особо поможет в случае чего.

Компания 1С перестала выпускать конфиги SELinux после Debian 6. Поэтому приходится отключать, ибо настроить SELinux так чтоб небыло сюрпризов в сервере 1С, практически нереально.

Как буд-то 1С вообще кому-то нужен кроме мелких контор. Которые пользуются его пиратской версией под виндой

У меня такое ощущение, что этот опрос про systemd, GRUB или bash, но автор очепятался.

щтаааа? а в слаке это есть???

https://wiki.ubuntu.com/SELinux

The Ubuntu-specific «selinux» and «selinux-policy-ubuntu» packages documented here have not received much attention since Karmic, and appear to be effectively broken in Precise.

Есть, но без бубна не заведётся и не заработает

Очередной systemd-срач

Не изменяю его состояния, если не мешает.

не поверишь, но даже многие крупные конторы типа x5/магнита ей пользуются. Биллинг на всех интернет магазинах россии тоже на 1С, на крупных заводах питера по 20-30 программистов 1С, правда зачем уже 1С при таком кол-ве нанимаемых программистов, я не понимаю, уже проще было своё написать. наняв норм программистов.

Как буд-то 1С вообще кому-то нужен кроме мелких контор. Которые пользуются его пиратской версией под виндой

Серьёзно?

Он помогает блокировать атаку на GHOST?

Большего бреда, чем selinux, в общем-то и представить себе сложно.

Это да, есть такое:

http://habrahabr.ru/company/pt/blog/143700/

А зачем выключать?

А зачем выключать?

Не знаю

он позволяет много что делать, начиная от мандатного доступа, заканчивая оповещениями по email о каких либо изменениях в настройках или просмотрах документов.

он позволяет много что делать

много, но это используется только очень малым числом пользователей (какой-то хитрый энтерпрайз заверченый на секурити, хотя там аудиты все равно зачастую довольно примитивные). для остальных оно является «той штукой, которая все ломает». как пульсаудио.

• Не включаю
  
• Не выключаю
  
• Не знаю

Ну да. Это как у Виктора Суворова в «Освободителе» про «противоатомную» покраску самолета.

Долго мучались, угробили кучу бабла, получили какие-то даже и результаты противорадиоактивной защиты красителей.

А потом вдруг «оказалось», что если ядрена бомба взорвется в паре километров от самолета, то его просто уничтожит ударной волной, несмотря ни на какие противорадиоактивные покраски.

А вывод-то всё тот же: бессмысленно создавать защиту от одной угрозы, когда не существует защит от других угроз.

ps не встречал ни одного vm appliance с включенным selinux

Не включаю
Не выключаю
Не знаю

В бубунточке родной вроде AppArmor заместо него.

вопрос наверное следовалы бы задать «обычно выключаете ли вы selinux»

Не выключаю и Не включаю. Я, должно быть, очень оригинален.

Я как раз такой софт разрабатываю. В реальности это невозможно сделать. Причина в следущем: selinux отлично работает, когда есть софтинка и нет никакого доступа к ней по ssh.

Но на деле такой софт существует только в мечтах. То файлик надо подложить, то зайти конфиг исправить. Все варианты не предусмотреть. Много раз пытались, но дохлый номер, поскольку клиенты находят нашему софту существенно более сложное применение, чем можно ожидать.

А где вариант: «в моей ОС нет никакого SELinux»?

Не включаю, ибо GrSecurity

Не выключаю
Не включаю

Оно разве отдельно, а не вместе? Несколько лет назад ходили слухи, что selinux достаточно просто обойти, если есть условия. Несмотря даже на то, что он и призван ограничивать в том числе и рута. Но всё же это лучше, чем ничего.

Оно разве отдельно, а не вместе?

Это 2 абсолютно разных проекта

Несколько лет назад ходили слухи, что selinux достаточно просто обойти, если есть условия. Несмотря даже на то, что он и призван ограничивать в том числе и рута

Хреновые политики - да, можно обойти. Но без политик - еще хуже. Однако писать политики для каждого сервака - дело муторное, поэтому я редко это делаю. Обхожусь пассивной защитой GrSecurity в большинстве случаев.

В том смысле, что не взаимоисключают, а скорее дополняют друг друга.

сервер: ON
десктоп: OFF