Перевод статьи (http://www.rostovlinux.ru/content/view/1324/56/) в которой рассматривается вопрос использования SELinux в Linux поставках, в которых данная подсистема не включена в состав дистрибутива, например, Gentoo.URL: http://www.rostovlinux.ru/content/view/1324/56/
Новость: http://www.opennet.me/opennews/art.shtml?num=7812
Зачем изобретать велосипед, есть hardened ветка gentoo. Там это все есть + правила для многих программ?
я был так не рисковал переходить на hardened-ветку
Никто и не говорит, что нужно переходить, просто если есть решение от поставщика ОС, то лучше воспользоваться им. Это уже второй вопрос, что потом придется брать отдельного человека, который бы писал правила SELinux под самописный софт...
Хотя для стандартных тем, типа LAMP и ничего больше очень даже пойдет.
а с чем связаны такие опасения?
года 2 использую hardened проблем не заметил.
SELinux не что иннное как разработка Агенства Национальной Безопасности США. Аналог нашей МСВС )))))
Должен сообщить, что 99.99999999999999999999999999999999999999999% интрузий - УДАЛЕННЫЕ атаки.И реализуются они через зеро-дэй дирочьки в ПеХеПеБеБе и прочих ВЕБ-ПРИЛОЖЕНИЯХ.
Проблемы ОСи имеют к этим дирочькам параллельное отношение.
Поэтому признаю SE мудовыми рыданиями ни о чем.
И чтоб через эту "дирочьку" или какую либо другую больше некуда бы ты не пролез =)
Вот для этого всё надо
Хм, думаю есть место полного непонимания что такое SELinux.
после того как крякер получит шелл через дыру в phpbb он должен основаться-то бишь root получить, тут то и раскрывается selinux вместе с snort =)
Многоуважаемый Квагга!
Складывается впечатление что вы вообще не понимаете, что
представляют из себя современные системы контроля доступа вообще
и SELinux в частности.
Не хочу скатываться до банального RTFM (хотя и хочется сильно)
Но кратко поясню -
SELinux реализует помимо всего прочего авторизацию, аутентификацию
и аккаунтинг ( набившее оскомину ААА) для приложений.
Т.е. даже выполнив эксплойт на системе с SELinux хакер останется с носом (при грамотной настройке SELinux) или сможет нанести минимальный вред.
Вы, однако, это в расчёт почему-то не берёте.За сим считаю, что Ваше мнение по данному вопросу достойно > /dev/null.
A kto mesaet
#eise -E selinux
IMHO Gentoo on videl na kartinkah!
Izvinite,osibsa
#euse -E selinux
gentoo на картинках? А вы не обращали внимание, что этот USE-флаг выглядит так (-selinux) (может это у меня на amd64 так только). Не приходило в голову задуматься отчего он там в скобках?man portage ;)
>Должен сообщить, что 99.99999999999999999999999999999999999999999% интрузий - УДАЛЕННЫЕ атаки.да да, это ты иди в банке скажи. =) что им главное от phpBB zeroday эксплоитов защищаться, а Mandatory Access Control системы пусть выбрасывают за ненадобностью, т.к. с вероятностью 0.0000000000000001% их никто никогда не сломает ;)
А что, давно лайнакс в банках ставят?
В грамотных банках, тобишь в тех что умеют считать деньги, а не отмывают нефтедоллары, там линуксы отнюдь не редкость.
если так рассуждать то и бронежелед не нужен всеравно из танка пробъют.