В кодовую базу, на основе которой будет сформирован выпуск ядра Linux 6.6, передано изменение, убирающие упоминание Агентства национальной безопасности США из опций, связанных с включением системы принудительного контроля доступа SELinux. Механизм SELinux был разработан АНБ, включён в состав ядра Linux в 2003 году и используется во многих дистрибутивах Linux, включая Fedora и Red Hat Enterprise Linux. Вопреки спекуляциям о возможном внесении закладок, реализация SELinux была многократно проверена и подвергнута независимому аудиту...Подробнее: https://www.opennet.me/opennews/art.shtml?num=59685
Важнейший фикс, очевидно.
Что такое? Бренд "NSA" отпугивает разработчиков и клиентов? Очень странно, почему же это?! Как такое могло произойти?!
Не спрашивай, не говори.
Это про другое.
Разве федора и рхел не одно и то же?
воспользуйся функцией strcmp(), чтобы узнать, являются ли "федора" и "рхел" одним и тем же
Нет, не одно и то же
> Разве федора и рхел не одно и то же?Нет, Fedora это R&D площадка для обкатки всяких идей, которые возможно войдут в готовый полноценный интепрайзный продукт для белых людей.
Разве "белых людей" интересуют такие мелочи производственного процесса? )
Нет, Федора контролируется сообществом, и решения принимает специальный комитет из избранных сообществом людей.
Естественно Федора часть рэдхель и айбиэм
Это ты так длинно сказал "Fedora -- глюкодром редхата"?
Да, именно это.
Как будто это секрет - что селинукс разработали ТАМ.
Но, спасибо, что напомнили. Пусть неофиты поморфируют )
А человеческим языком - кто такие неофиты?
Новички.
А что означает морфировать? Верно ли я нашёл определение? плавно преобразовывать один объект в другой
Не надо задумываться над шизофазией.
Морфирование было популярно в начале 20 века, теперь другие *цензура*. Вероятно, просто название сохранилось.
Я не знаю что он делает, возможно соль-ирует,
Автор скромно умолчал что является автором Half-Life XDM
https://www.youtube.com/watch?v=D9_5bXtrfP4
и что, теперь все его хвалить должны? или там тоже selinux :D
Разве латынь и греческий сейчас даже бегло уже не преподают? Прескорбно.
Ну, а как ещё в культурном обществе выражаться? Не скажешь же "новички охреневают". )
>>кто такие неофиты?буквально: "вновь обращённые".
Я вам более того скажу - AES-NI тоже одно из порождений АНБ. Не сам алгоритм, но вариант реализации. В своё время приняли Rijndael, и вот его уже назвали AES-NI. Одним из конкурентов был Serpent, я думаю лучше им пользоваться :). На современных процах за счёт других инструкций работает.
AES-NI это набор инструкций в камне предложенный и впервые реализованный интелем, причем тут анб? анб и к "просто AES" никакого отношения не имеет так-то
> Я вам более того скажу - AES-NI тоже одно из порождений АНБ.
> Не сам алгоритм, но вариант реализации. В своё время приняли Rijndael,
> и вот его уже назвали AES-NI. Одним из конкурентов был Serpent,
> я думаю лучше им пользоваться :). На современных процах за счёт
> других инструкций работает.Справедливости ради - на него такого уж прямо серьезного криминала за столько лет криптографы так и не нашли. Хотя искали и неслабо.
А так лучше вообще salsa или chacha пользоваться. У них пофикшены тайминг-атаки характерные дла AES и подобных дизайнов с S-box и подобными таблицами, что на современных процах велет к жестким утечкам таймингов операций и данных внешнему софту. Это конечно из разряда мельдониев и спектров почти - но в мире с виртуалками и контейнерами это не пустое соображение. Прошареные криптографы вот как раз предусмотрели подобные атаки еще 10+ лет назад понимая важность завершения всех операций за константное время независимо от ключей и данных. Профессиональная паранойя их не подвела.
Теперь будет секрет. Через пару лет только олды будут помнить, а еще через десяток только археологи.
Но это прямое нарушение GPL! Пофиг кто, но АНБ автор кода и вытирать упоминание о нем - это нарушение лицензии.
Внутри кода наверняка все копирайты есть
разве там не что старое в комментариях, что новое? т.е. для кода вообще без разницы
Ты путаешь с трёхкляузной BSD. GPL только требует распространять производное под ней же.
Если код переписан и тем более есть согласие автора то можно удалять. Тем более тут такое дело что сам автор сказал кому надо убрать.
На мой взгляд согласие или желание автора все равно не должно приводить к удалению/изменению авторства из кода. Например, если, не к ночи помянутая Алиса, добавит вредоносный код, а потом попросит удалить упоминания о своем авторстве, то так она затруднит сообщесту поиск злодея и соответствующую реакцию. Ну, или наговноконив по джунке, некоторые сениоры захотят скрыть этот факт от потомков ;)
И даже если ни строчки от кода трехбуквенной конторы не осталось, покуда это называется SELinux, первоначальный автор упомянут должен быть!
а может еще набивать татуировки номеров cve, критичные на лоб, не критичные еще куда, а если место кончится то в крематорий отвозить?
Как бы помягче сказать о важности и ценности твоего взгляда? Nobody cares, наверное.
Вообще в линуксе зоопарк этих праворазграничений удручает. И ни один из них не обладает балансом удобства и функциональности. Пробовал всё от шмод "три семёрки" и setfacl до selinux и эмуляции прав в samba. Впрочем, в других подсистемах тоже не всегда лучше.
Теперь setcap пользуйся и прекрати ныть. У них у всех разные назначения. Я бы ещё понял, если ты там apparmor с selinux сравнивал, хотя это тоже разные вещи.
права на файлы - тоже часть селинукс, если что
> Вообще в линуксе зоопарк этих праворазграничений удручает. И ни один из них
> не обладает балансом удобства и функциональности. Пробовал всё от шмод "три
> семёрки" и setfacl до selinux и эмуляции прав в samba. Впрочем,
> в других подсистемах тоже не всегда лучше....поэтому люди в здравом уме просто пользуются контейнерами и виртуалками, достигая сравнимого разделения границ с куда меньшим гимором. Прости чувак но если ты прошибешь этот браузер то получишь доступ аж в Downloads браузера. А зачем браузеру больше? А если ты вдруг пробьешь контейнер - ну, ок, вот тебе пустая виртуалочка. Так и быть можешь пошариться в ее довольно пустой системе. Но ценнее Downloads браузера в ней таки ничего нет. Зато сколько траха атакующему. При том что защищаюшейся стороне почти ничего делать не надо.
Факт: ~99% всей безопасности современных OS сформулирована в конце 1960-тых годов, ~60 лет назад и с тех пор (кроме: ASLR, CAP, мат верификация, крыптухи, изоляция ядра от железа https://muen.sk/ ) ничего не добавилось.Все современные OS основаны на теории безопасности 1960-тых и её надо всем строго соблюдать.
DAC - необходим всем (C1-C2: UNIX).
MAC - опционален, дополнительная защита с помощью изоляции компонентов системы (некоторые для удешевления используют виртуализацию) (B1-B2: MULTICS).
CAP - новая техника ограничения прав root процессов сформулированная в начале 1980-тых (B3).Виртуалки не разрабатывались как техника защиты. Виртуалки используют как технику изоляции вместо MAC для удешевления. Напоминаю, использование DAC, реализация всех требований C2 обязательно и для MAC и для дешевых технологий виртуализации.
Вот так АНБ подстава с только им известными дырами превращается в проект сообщества.
А кто все еще вменяем тот этот - сторонник теорий заговора.
Хотя как показала практика худшие предположения всегда сбываются на счет западников.
Нет, сторонники теорий заговора - неадекваты. Пока нет пруфов - невозможно однозначно утверждать, максимум подозревать
Просто они теперь больше авторства не пишут. Все больше ничего не изменилось.
>как показала практика худшие предположения всегда сбываются на счет западников.Так не пользуйтесь западным софтом и ос... Ой, так у вас ни черта не останется для использования... ;) imho
У тебя смешались оси и действия марионеток. впрочем ты тоже западник, а вот про Аврору ты забыл. Никто не запрещает использовать ее на х86 устройствах и это только пример чисто отечественной операционной системы.
Ты ведь молишься на силу капитала, а значит все купленное или честно используемое есть свое, а значит и другие отечественные линуксы, которые тебе не по карману оплатить по подписке тоже полностью отечественные.
Ты же знаешь разницу между красношляпой и всеми остальными, правда ведь?
А вообще завидуй молча.
>и используется во многих дистрибутивах Linux, включая Fedora и Red Hat Enterprise Linux.Мне теперь понятно на кого работают анонимы которые нахваливают Редхат и Федору с Гномом.
>Вопреки спекуляциям о возможном внесении закладок, реализация SELinux была многократно проверена и подвергнута независимому аудиту.Мы всё проверили, вы ничего не докажете.
>Последние 20 лет технология развивается при активном участии сообщества и не воспринимается как разработка, контролируемая АНБ.И вообще это разрабатывает ни какое ни АНБ а сообщество, поэтому это никакой нит бэкдор и вообще от сообщества можно.
Вопрос: в каких ядрах нету сабжа и в каких дистрибутивах используются такие ядра.
Ну чего ты тупишь? Доверять можно только самосборному ядру со своим конфигом.
Даже в Gentoo SELinux это отдельный профиль.
Так как все подражатели следуют моде, которую навятывают красные шапки считай что оно есть везде, включая андроид и хромосел.
Я слышал что в Бразилии делают форк ядра без блобов, подумал может кто-то и без сабжа собирает. Бывают же без системдэ дистрибутивы.
Ну, никто не запрещает скажем в Devuan без блобов установить либре ядро. Но если там корявые скрипты то все это будет падать требуя конкретнубю версию ядра.
Для Void вообще все равно кто что подсовывает, но свои очень старые ядра чаще всего не работают и вот собрав свое можно запустить систему так как там ядро гвоздями не приколочено.
Gentoo конечно проще в этом деле.
Я в Gentoo 3 года без селинукс проблем не заметил.
У "Деван" и так всё страшно, -- вон, в последней версии уже и multi x-session нет! А вы говорите, вообще, "без закладок"!
У меня ядро собрано без SELinux, для реализации MAC использую RBAC от GRSecurity не использующую LINUX LSM (https://en.wikibooks.org/wiki/Grsecurity/The_RBAC_System).
> Доверять можно только самосборному ядру со своим конфигом.Не самосборному, а самонаписанному.
что за бред? а ничего что анб сильно приложились к созданию интернета в целом? и aes это от них, так не пользуйся же интернетом и процами современнымиselinux, отключается, и онлайн -командой, и онбут -параметром ядра, и онмэйк отключением галочки, и федоре это его наличие побоку, можешь перепаковать initrd от дебиана, и грузить его ядро федорe, только нафига?
если анб решить украсть твой прон, им проще ssl-ключи попросить и персонально тебе подсунуть пакет с закладкой,
или ты думаешь, что проще делать закладку, на которую может случайно нарваться какой-нибудь инженер, и разтрезвонить об этом на весь мир, а потом придумывать как отмазываться, вот оно им надо?
компании обязаны, и публикуют инфу о том сколько раз, почему и куда передавали информацию, разумеется там не все. дебиан не компания конечно, и публиковать не обязан, но это не значит, что не передает он ключи pgp, для подписи пакетов, slackware точно не пердает, их там просто нет, и selinux там отключен, пользуйся
> компании обязаныНе обязаны. И делают это для сохранения собственной репутации и от заботы о своих клиентах.
Кто умеет его готовить?
Совместно с apparmor можно использовать?
Чем AppArmor не устраивает?
В целом то устраивает
Так речь о selinux
Готовить его умеет один человек на планете https://people.redhat.com/dwalsh/ и то если жив ещё.
мануалы в интернете вполне адекватные, в целом алгоритм - перевести selinux в режим только предупреждений, запустить нужную прогу, прогнать все вариаты использования, и специальной утилитой вытащить из логов всё куда она обращалась, в специальный файл, который и будет инструкцией чего этой проге можно
> прогнать все вариаты использованияСлово "Лопата" уже прозвучало?
Нет только еще "Закопать"
Apparmor можно сам по себе использовать? Нормальные человеческие доки где-то существуют?P.S. Фантазийные осиляторы с полпинка заранее лососните.
> Нормальные человеческие доки где-то существуют?Человеки и безопасность - вещи несовместимые.
Можно, наверное, но х.з. зачем.
SELinux — он про "мандатный контроль доступа". Есть даже возможность включить MLS, но это для секретчиков и не моя специальность.
В "targeted"-режиме используем как ещё один уровень "доказательства владения" во всяких околоденежных историях. Если вы не можете описать куда софтина должна иметь доступ, она не будет работать как ожидается (даже если запустится).* К сожалению, в некоторых моментах и selinux не поможет. Вот к примеру https://selinuxproject.org/page/ObjectClassesPerms
Вы знаете что запускаемое использует PCRE и по этому поводу надо (на примере астера)
"""
allow asterisk_t self:process { execmem execstack };
"""
Но, блин, теперь процесс может исполнять абы что и абы где! А не только по регуляркам ползать.
Т.е. в этом месте я конечно показал что знаю как оно там внутри крутится. Но дальше развожу руками. Приходите с эксплоитом наперевес, и… "мечты исполнятся".
Что такое SELinux? Это не сарказм, я правда не знаю, что это такое и как оно работает. Я всегда при помощи chmod устанавливаю права -rxw. Мне этого хватает.Подозреваю, что его создавали латентные вендузятники-неосиляторы из АНБ, которые копировали систему разрешений OS Windows.
Ну найти описание достаточно просто Security Enhanced Linux.
SELinux — это усовершенствование безопасности Linux, которое позволяет пользователям и администраторам лучше контролировать доступ. Доступ может быть ограничен такими переменными, как какие пользователи и приложения могут получить доступ к каким ресурсам. Эти ресурсы могут иметь форму файлов. Стандартные элементы управления доступом Linux, такие как файловые режимы (-rwxr-xr-x), могут быть изменены пользователем и приложениями, которые он запускает. И наоборот, контроль доступа SELinux определяется политикой, загруженной в систему, которая не может быть изменена небрежными пользователями или некорректно работающими приложениями.SELinux также повышает степень детализации контроля доступа. Например, вместо того, чтобы указывать только тех, кто может читать, записывать или выполнять файл, SELinux позволяет вам указать, кто может отсоединять, только добавлять, перемещать файл и так далее. SELinux позволяет вам указать доступ ко многим ресурсам, помимо файлов, таким как сетевые ресурсы и межпроцессное взаимодействие (IPC).
А если так, от себя... то в СГА существуют некоммерческие организации (как и во многих других странах), они финансируются другими, коммерческими или государственными организациями. У каждой организации есть определённые цели, их создают специально. Часть (благородных) целей заяляется публично, а о части целей как правило не говорят. Так вот и читайте про благородные цели этого линукса - вы можете хранить конфидициальные файлы безопасно на такой бесплатной операционной системе. И АНБ тут больше не при чём - упоминание стёрли. Интересно, они сами исспользуют этот продукт производства? Хм... ну как-то так
> вы можете хранить конфидициальные файлы безопасно на такой бесплатной операционной системеТак. Хорошо.
А в платной ОС можно хранить безопасно?
В платной ОС можно только безопасТно хранить.
Вот в чем разница то!!
Пользователи винды в полной безопасности
Нет. Он просто пишет в ворде из под винды, без шансов на ошибку
В очень безопасТной среде )
На сегодняшний день все люди пользуются продуктами производства по лицензии. В случае бесплатной ОС производитель такого продукта как правило не несёт никакой юридической ответственности. Я пользуюсь Windows в качестве настольной ОС, у неё лицензия EULA и если вы её читали, то до ужаса огромное количество конфидициальных данных отправляется в Майкрософт и если попробовать перехватить траффик - таки отправляет. По идее законодательство моей страны должно обеспечивать защиту моих прав, тем не менее ни по одному инциденту я не обращался.
Иметь право и возможность его реализовать
не одно и тоже
И при покупке продукции вы фактически заключаете договор, подтвержденный чеком о приобретении продукции. Появляется сразу две стороны ответственности, потому что вам копию продукта продали по лицензии, а вы купили. А при скачивании никто ни с кем договор не заключает. Но тут интересный ньюанс - компания должна быть зарегистрирована в вашей стране чтобы можно было говорить о локальном законодательстве. И Майкрософт, кстати, в моей стране есть. Тем не менее, если я покупаю иностранное ПО, то это уже импорт в личных целях. Так вот, если у меня будет вдруг возможность доказать что какую-то мою информацию нелегально исспользовали благодаря этой компании, то теоретически я могу подать на них заявку в суд.
Ну подают иск.. эт ладно
Теория и практика далеко не всегда совместимы, хотя философия нам говорит об обратном
Так вот ресурсы и вас и у майкрасофта разные.
Сотретесь при хождении по судебным заседаням. Для вас это станет целью жизни, майрософт же не заметит этого процесса вовсе ))
Угу и что вы мне пытаетесь доказать? Задачи SELinux очень специфические, мне такие не нужны.
>SELinux позволяет вам указать, кто может отсоединять, только добавлять, перемещать файл и так далее. SELinux позволяет вам указать доступ ко многим ресурсам, помимо файлов, таким как сетевые ресурсы и межпроцессное взаимодействие (IPC).Нет, юзать не буду, так как воспринимаю как лишнюю надстройку на классическим -rwx. И что означает понятие "отсоединить файл"? Файл можно создать, переместить, скопировать, "выполнить" и удалить. Мне кажется обычному пользователю, да и локальному админу это всё не нужно. SELinux только создаёт излишнюю сложность.
https://habr.com/ru/companies/kingservers/articles/209644/
Ах вот оно чего! Если доступ к файлу не санкционированный процесс делает - то можно запретить такой доступ и написать лог. Идея интересная конечно, действительно способствует безопасности.
Мандатная модель доступа к ресурсам. Очень нравится военным. В наших спец-дистрибутивах тоже присутствует и имеет средства графического управления. Ваш КО.
Что за средство графического управления, то бищь гуй?
как называется?
Ну расскажи как чмодом ты сделаешь пермишн вроде "пользователям из этой группы в каталоге ничего писать и читать нельзя, остальным можно"
# useradd -r secret
# install -dm2770 /secrets
# chown -R secret:secret /secrets
# for user in etomu_mozhno{0..9}; do useradd -aG secret "$user"; done
Что такое SELinux?
Это как AppArmor, но только SELinux.
Соответствующий патч предложен АНБ, надо подразумевать?
Тут и без этого попадались адепты непричастности АНБ к селинуксу.
Свидетельство канарейки.
National Security Agency (NSA) — подразделение Министерства обороны США, входящее в состав Разведывательного сообщества США на правах независимого разведывательного органа, занимается радиоэлектронной, научной и технической разведкой, киберразведкой, военной контрразведкой, защитой электронных коммуникационных сетей госучреждений США.Но нужно опасаться товарища майора. АНБ - это другое, понимать надо!
Ну что ты, это только в Мордоре МИТМ и набутыливание за малейшую критику противоправных действий "спецслужб", конечно, другое.
видишь суслика?
Идиотизм. Код надо проверять независимо от места, из которого он получен. АНБ будто не может внедрить в код закладки, использовав подставную личину записного криптоанархиста. До боротьбы с NIST как скоро дойдет?
от кого попало не примут патч, а если и примут, то проверят.зачем вообще им закладки, им проще трафик кого надо, завернуть куда надо, и дать ему персональный пакет с "дополнительным" функционалом, и не надо никаких агентов и непоняток, dpi и так стоит где надо.
> от кого попало не примут патч, а если и примут, то проверят.Как патчи от Минесотовцев, проверили, когда часть уже "протухла"?
Слабо тянет на новость. Либо что-то важное не упомянули.
Интересно, что по этому поводу думает товарищ майор?
Товарищ майор не умеет думать самостоятельно. У него в спец. дистрибутиве по умолчанию SELinux уже работает.
ну дак, за 20 лет ничего не нашли, значит все ок, уже можно
А почему тогда в туалет ходят только с разрешения.
Упоминания нет, а связь есть
Закоммитил кста чел у которого в linkedin стоит National Security Agency (NSA) (то что в совке анб обозвали)
PS капец зачнм я это форсить начал в англ среде, что мол у вас NSA в ядре, они теперь удалили буковки ахахха
теперь никто не догадаеца
Я правильно понимаю, что линуксоиды которые агитируют ставить Линукс это агенты АНБ?
есть немного
Есть ли SElinux в FreeBSD?
Лучше ли FreeBSD чем Linux.
> Вопреки спекуляциям о возможном внесении закладок, реализация SELinux была многократно проверена и подвергнута независимому аудитуНет, ну это, конечно же, сразу всё меняет. Очевидно же, что АНБ просто по доброте душевной решили помочь обезопасить линукс. Такие вот добрые самаритяне, сидящие в главном разведовательном ведомстве США. А упоминание про себя попросили убрать просто от безмерной скромности.
Всё так и есть, а кто засомневается - тот против свободы, демократии и всяких там меньшинств!
Проверяй, но доверяй.
У вас нет такой разработки - и не будет! Инженеров нет и не будет и это главное. Дети сразу не могут стать инженерами если их опикать и сувать на прибыльные должности. Нужнен талант и хотеть - этому не учат.
Сделать нормальную запрплату для дворников - чтобы в инженеры не сувались кто попало! - Так было в Советском Союзе!
Или легкий заработок с помощью иностранной рабочий силы? Ну тогда забудъте об инженерах, ха)))
Вы про индусов? Это не самые глупые люди к вашему сведению. Они могут программировать по разному и порой получше многих других людей. Среди них очень много людей в топ-менеджменте.
Ну зачем вы так? Высокие зарплаты в IT установил запад, а более конкретно - СГА. Весь вопрос в том, почему человек работает на запад, пользуется разницей валюты и его зароботок не подлежит урегулированию со стороны государства? По факту это экспорт интеллектуального труда. И вот так получилось что очень долгое время из-за советского законодательства вот такие торговые отношения в целом были незаконными, т.к. предполагалась торговля готовыми продуктами производства. Тем не менее, не знаю как у вас, но у нас только лет 10-15 назад всё это узаконили, хоть и до этого были IT компании, в которых инженеры продавали именно интеллектуальный труд.