Всего сообщений: 6
Доброго времени суток.
Свежеустановленныей Debian 7.2 ( wheezy ).
Недефолт отмечен рамкой. Да, это selinux в enforcing mode. Из коробки он будет работать только на сервере, но если глаза ещё горят красным, можно чуть допилить политику selinux, чтобы можно было её использовать на ноуте.
После сборки и включения в политику собственного модуля, работают gdm3, pulseaudio, fglrx. На скриншоте minicom подключен к management module p5 520; spice консоль virt-manager'а к одной из ВМ на домашнем сервере; java консоль к kvm домашнего сервера; подмонтировал диск по sshfs и смотрю с него фильм.
Тонкий момент, который редко упоминается в руководствах по selinux: в targeted политике есть такое понятие, как unconfined, «не ограниченный». Жёстко ограничены только демоны, работающие с сетью. А большая часть ПО относятся к домену unconfined_t и в пределах unconfined доменов может делать почти всё. Ближайшая аналогия - сеть крупной организации. Отдельные домены для демонов можно сравнить с DMZ, который ограничен по самое небалуйся, а unconfined_t домен - с обычной офисной сетью в пределах одного vlan'а
Не так страшен MAC и RBAC, как те кто действительно умеют этот треш настраивать :)
>>> Просмотр (1920x1200, 701 Kb)
Tomoyo - мандатная система контроля доступа. Предусмотрены механизмы для автоматического и интерактивного формирования правил. В ядре Linux уже достаточно давно присутствует неполноценная версия 2.x (умеет только ограничивать доступ к ФС), для использования версии 1.x необходимо пропатчанное ядро. Также доступна Akari - версия Tomoyo в виде модуля, которую можно устанавливать на непатчанное ядро.
На скриншоте запущен ccs-editpolice (редактор правил доступа) в различных режимах, ccs-queryd (позволяет интерактивно отслеживать нарушения правил и при необходимости изменять их), показан выхлоп ccs-pstree (показывает дерево процессов с указанием применяемым для каждого процесса профиля и домена).
Ссылки:
>>> Просмотр (1280x1024, 69 Kb)
Жаркое лето 2007 года. До сдачи диссертации осталось четыре недели. Диссер не дописан, кучи графиков не готовы, научный руководитель требует пересчитать пару экспериментов, а тут - резервистская служба. Что делаем? Берем старый лэптоп с какой-то мандривой. На нем - перл, gnuplot и PyMol для анализов, kdevelop для правки числодробилки, латех и kile для писанины. К лэптопу подключен телефон Motorola V1 через usb. Через телефон есть интернет с ssh, по которому могу соединяться с кластером в лаборатории. Всё это берется с собой в вещмешок - и вперед. В итоге диссертация сдана в срок. Ура, товарищи!
ПС Драйвер для бинокля и для M-16 не нашел, пришлось оперировать в ручном режиме
>>> Просмотр (2048x1536, 718 Kb)