В PDF документе "Demystifying Security Enhanced Linux (http://www.ebcvg.com/pdf/dl/demystifying_selinux.pdf)" рассказывается о путях применения и внутренней сути подсистемы SELinux,  не совсем прозрачной для начального понимания.

В статье также приводятся примеры создания несложных SELinux политик.

Дополнительно, можно отметить публикацию письма "SELinux kills multiboot (http://lwn.net/Articles/165530/)" со ссылкой на дискуссию (http://www.redhat.com/archives/fedora-test-list/2005-Decembe...) в списке рассылки fedora-test-list, в которой поднимаются проблемы (https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=152827) использования SELinux в системах на которых установлено несколько ОС и используются одинакоые точки монтирования (например, один /home для всех).

URL: http://www.ebcvg.com/articles.php?id=1013
Новость: http://www.opennet.me/opennews/art.shtml?num=6700

• Философия SELinux,THESERG, 00:07 , 26-Дек-05
• Философия SELinux,sash, 01:36 , 26-Дек-05
  • Философия SELinux,andrewk, 11:12 , 26-Дек-05
    • Философия SELinux,sash, 12:08 , 26-Дек-05
      • Одно из сильнейших,Otto Katz Feldkurat, 12:21 , 26-Дек-05
        • Одно из сильнейших,sash, 12:39 , 26-Дек-05
          • На мой взгляд, начинать надо,Otto Katz Feldkurat, 13:36 , 26-Дек-05
            • На мой взгляд, все не просто,sash, 13:45 , 26-Дек-05
              • Понял тебя.,Otto Katz Feldkurat, 14:42 , 26-Дек-05
                • Понял тебя.,sash, 14:47 , 26-Дек-05
  • Философия SELinux,Mikk, 12:05 , 26-Дек-05
    • Философия SELinux,sash, 12:10 , 26-Дек-05
  • Философия SELinux,Mike, 12:17 , 26-Дек-05
    • Философия SELinux,sash, 13:09 , 26-Дек-05
      • Философия SELinux,Mike, 13:24 , 26-Дек-05
        • Философия SELinux,andrewk, 13:53 , 26-Дек-05
        • Философия SELinux,sash, 13:54 , 26-Дек-05
• Философия SELinux,dsl, 08:25 , 26-Дек-05
• Философия SELinux,PavelVice, 16:10 , 26-Дек-05
  • Философия SELinux,rt, 02:35 , 27-Дек-05
• Философия SELinux,Сердюка, 10:57 , 27-Дек-05
• Философия SELinux,don, 12:48 , 27-Дек-05
• Философия SELinux,Guest, 13:23 , 27-Дек-05
• Философия SELinux,Аноним, 09:02 , 11-Янв-06

глючит всё это наверно...

неа. давеча был на семинаре редхета. она по умолчанию включена в RHEL 4.

очень и очень. штука нетривиальная и с ней можно сделать все что угодно.

Кста после этого скучного семинара, самым полезным на котором нашел материалы редхета, презенташки и т.д. многое почерпнул из материалов, начал уважительно относится к редхету. Даже подумываю о подписке на Standart и использованию RHEL4

жертва рекламы :) любую систему стоит использовать лишь потому, что она в состоянии тебе дать какие-либо преимущества, а не потому, что про нее красиво рассказали на семинаре.

Реклама это последнее на что обращаю внимание.

Преимущества в поддержке, и цене на нее.

переживаний детства - утрата прав на директорию в системе с ACL.

ACL, SELinux и TrustedBSD - потенциально источник больших проблем с правами на то и на сё. Отладить просто нормальную работу такой системы может оказаться сесьма ресурсной задачей. Готов ли ты к тому, что МТА недели две будет тебе отвечать в различных вариантах: "я отдыхаю и ты отдыхаешь у тебя правов нема"? Потом станешь прикручивать клиентов. По одному. И...

А ради чего? У тебя в системе каждый день объявляются бэкдоры, активнсоть пользователей которых надо ограничить?

Си - отличный копилятор. И что? Исходя из этого факта ты готов написать лично для себя ОС? Отладка прав может превратиться в написание собственного ядра в человеко-часах.

Согласен с каждым словом.

Я не сторонник ни противник SELinux.

Как и везде должна быть корреляция между приемлемым решением задачи (в данном случае безопасности) и затрат на нее.

Заметьте в списках политик SELinux нет sendmail. :))

с шифрования трафика.

Что толку наводить тень на плетень внутри DMZ, если твой внешний траф может быть обснифан из локалки провайдера, из локалки коллокатора, на пиринге, а внутренний - любым алкашом из соседней комнаты?

с тем что данные являются общедоступными не только в сети.

Хочешь безопасности - это дорого стоит. Толлу с шифрования траффика если вспомнить о тех.средствах позволяющие снимать изображение с ЕЛТ, получать данные с кабеля при печати на принтер, и т.д. Эти средства были на вооружении у СБ еще в 70-х. А что на вооружении у них сейчас?

Гугл может позволить себе выложить отснятую поверхность земли, в неплохом качестве. :) Что же тогда могут те у кого есть средства разработанные на деньги вкладываемые в ВВП?

Безопасность палка о десяти концах, и шифрованием трафика не обойтись.

Ты не в курсе "проститутской" сетевухи и сниффа. И сопутствующих средств.

В домовых сетях в Москве все снифают всех. Угоны красивых е-мейл типа "банк@мейл.ру" - норма жизни. Возвращается доступ к такому ящику только через пляску с топорами.

Жди статьи у во у в журнеле "Ккуль Хацкер", он же просто: "Хацкер", он же "Ксакеп.ру".

Зря я ее так долго откладывал.

В курсе. Все средства упоминать попросту нет смысла.

Обязательно прочту. в последнее время журнал публикует толковые статьи.

>с ней можно сделать все что угодно.
С ней оракла сделать нельзя. Не будет работать.

>>с ней можно сделать все что угодно.
>С ней оракла сделать нельзя. Не будет работать.

SELinux не будет работать с oracle? имеешь ввиду oracle database 9i/10g ?

странно, rhel4 с включенным selinux работает БД.

Но не это имел ввиду. :)

CentOS 4 юзайте. Те же яйца, тока бесплатно.

Поймите критерий бесплатности не играет такую большую роль как ему придают ?начинающие?.

Не думаю. Вот напр. мне зачем rhel4, когда есть совместимый с ним на 100% centos 4, ну мб лишенный нек. коммерческих шалабушек, кот мне вcе равно не нужны.
Нет, конечно мне нужен rhel4, но просто чтоб был (иначе с чем будет Centos совместим?), но платить за него я не буду и никому не советую.
А начинающим - тем более, зачем платить деньги, да и за что?
Так что, я думаю тут решающий фактор - отсутствие информации, ну или нежелание искать альтернативы раскрученному бренду.

Mike, здесь не такой простой вопрос, как ты думаешь. если начать обсуждать, почему иногда предпочтительнее купить решение от коммерческого вендора, а иногда можно обойтись и аналогичным бесплатным решением, все это выльется в огромной флейм, толку от которого будет 0. просто поверь, что есть такие обстоятельства, благодаря которым люди предпочитают юзать именно rhel4, а не centos, даже зная о существовании последней.

Практически не использую RH, от федоры просто воротит - собрать столько ПО  в одном месте да еще и запутать все это надо уметь.

перед centos RHEL выигрывает имено поддержкой. мне так кажется, если ошибаюсь - поправте.

http://rhd.ru/docs/articles/selinux_rhel4/

SeLinux сложен, но поддерживается без всяхих патчей.
Есть еще lids и gradm. Они мне больще нравятся. Есть  еще vserver(опять же в виде патчей толька). Хотелось бы иметь возможность выбора между этими решениями без лишнего гимора с патчами. Я конечно понимаю что трудно сделать что бы код этих проектов мог сосущестовать в ядре, но все же.

а что, так сложно патч наложить?

да и зачем патчи? есть уже наложенные и постоянно обновляемые, напр Gentoo
emerge vserver-sources

Юзаю CentOS + SELinux - все отлично - всем доволен, как и все остальное - нужно сначала изучить...

А может grsecurity или RSBAC лучше?

>>А может grsecurity или RSBAC лучше?
и там и там мандантный доступ -только все возможности RSBAC получаются как частный случай SELinux ,то есть это гораздо более мощная технология -да и лучшая железобетонность этого проекта -в сети есть две машины с SELinux (в проектах дженту и дебиана или редхата) которые стоят себя мирно с открытым доступом по ssh roota  с известным паролем куда каждый может зайти попытать удачи по взлому ,а демострации других систем защиты пока нету почему то -это тоже показатель!