Christer Edwards анонсировал (http://ubuntu-tutorials.com/2008/03/18/how-to-install-selinu... завершение работы по реализации поддержки SELinux в Ubuntu 8.04. SELinux не будет включен по умолчанию, но процедура установки тривиальна и сводится к выполнению "aptitude install selinux".
Данное новшество открывает возможность сертификации решений на базе Ubuntu на предмет соответствия требованиям стандарта Common Criteria EAL4+ (http://ru.wikipedia.org/wiki/Common_Criteria), открывающей двери для использования в правительственных учреждениях США.URL: http://ubuntu-tutorials.com/2008/03/18/how-to-install-selinu.../
Новость: http://www.opennet.me/opennews/art.shtml?num=14827
Решились, наконец-то :)
>процедура установки тривиальна и сводится к выполнению "aptitude install selinux".Ай, как сладко поют. Слушал бы и слушал!
>Ай, как сладко поют. Слушал бы и слушал!Установка != настройка.Так что потом зато знатно секса поимеешь, не расстраивайся :)
Угу... ещё даже RHEL 5 не сертифицировали на EAL4+, а тут Ubuntu, куда там ей...:-D
Да, ubunut рвётся в массы, а нужен ли этим массам ubuntu... Ото б сидели со своим apparmor и молчали в тряпочку.
Ну apparmor, как раз юзерам был самое то, зачем юзеру, который не нечего кроме GUI не знает, SELinux, не ясно, видимо это какой-то секретный план...:)
Простым смертным юзером он может ПОКА не нужен, зато админам он позволит централизованно управлять безопасностью и поддерживать единые "правила игры" и единую политику безопасности. При наличии удобных (может даже гуёвых) средств редактирование политик и управления всем этим хозяйством на основе какого-то сервера директорий - то это уже РЕАЛЬНАЯ альтернатива виндам в офисах! Причём намного более безопасная и гибкая!
>Простым смертным юзером он может ПОКА не нужен, зато админам он позволит
>централизованно управлять безопасностью и поддерживать единые "правила игры" и единую политику
>безопасности. При наличии удобных (может даже гуёвых) средств редактирование политик и
>управления всем этим хозяйством на основе какого-то сервера директорий - то
>это уже РЕАЛЬНАЯ альтернатива виндам в офисах! Причём намного более безопасная
>и гибкая!Для этого уже есть средства, если у Вас это единственная проблема, которая мешает перейти на Linux, то смотрите в сторону Mandriva, у них есть всё это и уже доступно, а не через n-цать лет...;)
Да и не только мандрива, FDS у федоры ну и его старший брат у RHEL :)
Хорошая новость! Желаю убунте здравствовать и чтоб становилась всё популярней и популярней! :)
>Хорошая новость! Желаю убунте здравствовать и чтоб становилась всё популярней и популярней!
>:)главное - качественнее. я например ее только на десктопе и ноуте использую. на сервак не решусь поставить.
>>Хорошая новость! Желаю убунте здравствовать и чтоб становилась всё популярней и популярней!
>>:)
>
>главное - качественнее. я например ее только на десктопе и ноуте использую.
>на сервак не решусь поставить.А что так? Недостаточно кошерна для серверов? У меня на продакшн-серверах работает вообще без проблем. Что-то неправильно делаю? :D
У меня убунта стоит и на десктопе дома и на серверах на работе, всё работает как часики, тьфу, тьфу.. =)
Причём на сервере никакого гуи нет и в помине.
>главное - качественнее. я например ее только на десктопе и ноуте использую.
>на сервак не решусь поставить.А чем Ubuntu server плох?Можно с *конкретикой* а не только обтекаемые фразы?А то прям какой-то FUD а-ля выходки Майкрософт.
>А что так? Недостаточно кошерна для серверов? У меня на продакшн-серверах работает вообще
>без проблем. Что-то неправильно делаю? :Dугу, последние нашумевшие и нетолько сплоиты валят вашу убунту и даже не чихают..
так что selinux правильный шаг (потому как потонциально дырявые ядра с selinux сплоиты не пробивали)
Поржал спасибо, наверно и vmslice эксплоит вина убунты. Тотже дебиан до сих пор не собран с -stack-protector. Так что убунта правильным путем идет.
На серверах для неё правильный путь - биореактор!
На десктопе - вполне сойдёт.
>
>На серверах для неё правильный путь - биореактор!
>На десктопе - вполне сойдёт.Аргументация для первого утверждения?
Просто на сервер нормальные люди нестабильный софт не ставят.
>Просто на сервер нормальные люди нестабильный софт не ставят.Нормальные люди ставят LTS. Который не хуже debian stable и тем не менее включает актуальные нововедения.
>Просто на сервер нормальные люди нестабильный софт не ставят.LTS через пару месяцев после выхода вполне себе стабилен...
>>Просто на сервер нормальные люди нестабильный софт не ставят.
>
>LTS через пару месяцев после выхода вполне себе стабилен...Да и не LTS в общем-то тоже. Сразу: "стабилен" в моем понимании - то, что используемый софт работает без проблем, ну и сама ОС не валится.
Сам юзаю убунту только дома (супер). А на сервере ей не хватает продуманности. Даже банального /etc/init.d/iptables save нет. И миллиона разных других мелочей, которые и отличают взрослый дистриб от поделки....
>Сам юзаю убунту только дома (супер). А на сервере ей не хватает
>продуманности. Даже банального /etc/init.d/iptables save нет. И миллиона разных других мелочей,
>которые и отличают взрослый дистриб от поделки....А серверную версию ставить пробывали?
Если честно, не думал, что она в этом плане будет лучше. Спасибо, попробую! :-D
> Поржал спасибо, наверно и vmslice эксплоит вина убунты. Тотже дебиан до сих пор не собран с -stack-protector.stack-protector ни от vmsplice ни от prctl не спасает ни разу, умничали бы уже по теме что-ли...
мало того, щас намного еффективнее запретить конкретному приложениею открывать сокеты (через селинукс) чем ставить защиту на стек, который уже черти сколько лет никому не сдался
>> Поржал спасибо, наверно и vmslice эксплоит вина убунты. Тотже дебиан до сих пор не собран с -stack-protector.
>
>stack-protector ни от vmsplice ни от prctl не спасает ни разу, умничали
>бы уже по теме что-ли...
>мало того, щас намного еффективнее запретить конкретному приложениею открывать сокеты (через селинукс)
>чем ставить защиту на стек, который уже черти сколько лет никому
>не сдалсяЯ говорил не конкретно что от чего защищает. Я говорю что проблема была в ядре и не надо говорить что типа убунта ломается от любого сплойта, точно так же ломается и debian,gentoo,fedora и любой дистр с уязвимым ядром. А насчет защиты убунта(hardy) как раз из коробки защищена получше того же дебиана и атаки на buffer overflow есть до сих пор так что не надо говорить типа не нужен -stack-protector, просто патчи типа execshield и PaX с -stack-protector делают их практически бесполезными.
>Я говорил не конкретно что от чего защищает. Я говорю что проблема
>была в ядре и не надо говорить что типа убунта ломается
>от любого сплойта, точно так же ломается и debian,gentoo,fedora и любой
>дистр с уязвимым ядром.редхат с селинуксом и дырявым ядром не срабатывает..
генту с селинуксом и дырявым ядром не отрабатывает, тоесть рута не получишP.S. подсистема селинукс прикрывает задницу ядру, в отличии от пакс/екцекшилдов и ко
генто отказалась от поддержки селинукса
только ядро-стейджи за 2005-уже ничего не поставишь
Ура!
Наконец-то!
Так и быть пока не буду на федору переходить :-)
Ещё официальный вариант на базе LXDE - вообще красота была бы...