| |
| 2.3, _Nick_ (??), 16:41, 26/09/2007 [^] [^^] [^^^] [ответить]
| +/– |
 очень похоже на то
только ведь ВСЕМ не ПРИКАЖЕШЬ писать правильный код :)
| | |
| |
| 3.4, Dvorkin (??), 17:28, 26/09/2007 [^] [^^] [^^^] [ответить]
| +/– |
 короче, придраться не к чему. вот и выдумывают: правила не те, пишу не так... :)
когда SELinux выпустят фронтенд к своим патчам с двумя чекбоксами "безопасно" и "сильно безопасно" - будут критиковать за излишнюю простоту
| | |
| |
| 4.10, Аноним (10), 23:29, 26/09/2007 [^] [^^] [^^^] [ответить]
| +/– | |
> выпустят фронтенд к своим патчам с двумя чекбоксами "безопасно" и "сильно безопасно"
Давно уже есть где чекбоксы ставить - system-config-selinux
тока их там побольше двух :)
а "безопасно" и "сильно безопасно" выбирается в выпадающем списке :)
Соответственно "целевая политика" и "строгая"
| | |
|
| 3.18, ЩекнИтрч (?), 05:23, 27/09/2007 [^] [^^] [^^^] [ответить]
| +/– | |
> писать правильный код :) ...
А как "правильный код" позволит задать правила редистрибуции документов?
Например, Маня может печатать и слать на мыло, группа Фени - просматривать, а группа Вени только печатать?
И так далее?
Что-то там ум за разум у койкого.
| | |
|
| 2.13, cmp (??), 00:33, 27/09/2007 [^] [^^] [^^^] [ответить]
| +/– |
Костылем это было костылем и останется, будем надеятся хватит ума не пихать эту хрень куда попало, чтобы потом не удалять
| | |
|
| 1.2, _Nick_ (??), 16:40, 26/09/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> В OpenBSD безопасность - атрибут кода и часть процесса разработки.
одно другому не мешает.
Что и показывает подход SELinux:
надежные программы - отлично
но ограничения со стороны ядра - лишь плюс к безопасности.
| | |
| |
| 2.6, Exe (?), 22:39, 26/09/2007 [^] [^^] [^^^] [ответить]
| +/– |
я хотел к gentoo прикрутить, так нигде ни слова про это :(. Оно тока в сусе и slackarmor. Да и что-то не особо мне понравилось. Лучше чем selinux(selinux с нуля конфигурить самоубийство), но есть принципиальные проблемы типа права к прогам привязаны к путям а не к лабелам. Имхо это скорее минус чем плюс.
| | |
|
| 1.7, Аноним (10), 22:57, 26/09/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На стандартных ситуациях писать свои политики незачем. И так > 200 стандартных процессов описано и предусмотрена куча т.н. "переключателей". Запускаем system-config-selinux и вперед кастомизируем политику под конкретные нужды/нестандартную конфигурацию в графике. Да и тупейшему audit2allow можно за пару часов выучиться и свой модуль без глубокого знания конструкций написать. В любом случае жэто будет лучше чем отключать selinux.
| | |
| 1.12, Аноним (10), 23:56, 26/09/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Глупость , ни кто ни чем не занимается. Два подхода к безопасности, в заметке нечётко расставлены интонации. Идея в проблеме чрезмерного усложнения системы ,что ведёт к увеличению возможности ошибки администратора, и снижения оной путём более критичного отношения к безопасности при написании кода. Что в принципе правильно,как и призыв "нет войне" все понимают что да , войне таки нет, но войны все равно идут.
| | |
| |
| 2.17, serg1224 (?), 03:04, 27/09/2007 [^] [^^] [^^^] [ответить]
| +/– |
 Одно другого не исключает: можно и программы стараться писать без ошибок и создавать новые технологии безопасности.
Кстати, системы типа SELinux помогают предотвратить неописанные угрозы. Допустим некая программа написана без багов и реализует возможности некоего сетевого протокола на 100% в соответствии с неким RFC. И вот через годик обнаруживается дырка, но не в программе, а в протоколе!
| | |
|
| 1.19, Moralez (??), 12:01, 28/09/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всё это так же и к FreeBSD-шному MAC-у относится, за 2 года руки так и не поднялись настроить, т.к. мегагемор... Надеюсь OpenBSDшники придумают что-то лучше, на что потом все перейдут... :-)
| | |
| |
| 2.21, Аноним (10), 06:35, 30/09/2007 [^] [^^] [^^^] [ответить]
| +/– |
>Всё это так же и к FreeBSD-шному MAC-у относится, за 2 года
>руки так и не поднялись настроить, т.к. мегагемор... Надеюсь OpenBSDшники придумают
>что-то лучше, на что потом все перейдут... :-)
Вероятность этого недалека от вероятности того что миллион мартышек за печатными машинками напишут войну и мир.Это немного не те люди которые могут спроектировать что-то простое для конечного юзера.
| | |
| |
| 3.22, Аноним (-), 10:11, 20/04/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Вероятность этого недалека от вероятности того что миллион мартышек за печатными машинками
>напишут войну и мир.Это немного не те люди которые могут спроектировать
>что-то простое для конечного юзера.
Ну про совсем конечных пользователей речь и не идёт, нужно всё-таки быть администратором системы. А вот придумать эти ребята много чего придумали: pf, OpenSSH и т.д. И система одна из лучших по части документированности!
| | |
|
|
|
