forum.opennet.ru - "Дистрибутив openSUSE Tumbleweed перешёл на использование SELinux по умолчанию" (64)

"Дистрибутив openSUSE Tumbleweed перешёл на использование SELinux по умолчанию"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Дистрибутив openSUSE Tumbleweed перешёл на использование SELinux по умолчанию"	+/–
Сообщение от opennews (??), 13-Фев-25, 14:36
Разработчики проекта openSUSE объявили о переводе дистрибутива openSUSE Tumbleweed, в котором применяется непрерывный цикл обновления версий программ (rolling-обновления), на использование системы принудительного контроля доступа SELinux. Начиная с обновления 20250211 для новых установок openSUSE Tumbleweed по умолчанию предлагается SELinux в режиме "enforcing". Готовые сборки виртуальных машин openSUSE Tumbleweed minimalVM будут поставляться по умолчанию с SELinux... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62715
Ответить \| Правка \| Cообщить модератору

Оглавление

Зря они так Этот SELinux чёрт ногу сломит настраивать Если всё из коробки дис, Аноним (1), 14:36 , 13-Фев-25, (1)

Зато SELinux качественный, от АНБ , Аноним (3), 14:53 , 13-Фев-25, (3) +1

Анб это министерства обороны А они разбираются в безопасности , Аноним (6), 15:06 , 13-Фев-25, (6) +3

а агенство нац безопасности - минздрав , Аноним (-), 15:15 , 13-Фев-25, (8) +1

Вам ещё повезло У нас - минкульт И это не прикол А ещё они выездные визы дают, Аноним (15), 15:52 , 13-Фев-25, (15) –1

Это где такое , Аноним (75), 20:13 , 16-Фев-25, (75)

Все военные готовятся к прошлой войне Говорят , Аноним (43), 21:21 , 13-Фев-25, (43)

ну не то, чтобы сложно, но нарягаеткстати у меня после последних апдейтов apparm, penetrator (?), 14:55 , 13-Фев-25, (4)
Для таких они специально комикс нарисовали, но видимо и это слишком сложно Оста, Аноним (24), 16:36 , 13-Фев-25, (24)

https files catbox moe khxzwj jpg этот , onanim (?), 14:42 , 14-Фев-25, (64)

Нет, другой Без шутеечек Я ханипот с selinux и рутовым паролем 123 выставлял в, Аноним (24), 03:30 , 16-Фев-25, (71)

Это всё потому, что SELinux всё ещё не сделали сервисом systemd , Аноним (31), 17:25 , 13-Фев-25, (31) –1
только, если Вы мазохист и если Вам надо видимость, а не хоть какую-то защиту, мяв (?), 01:37 , 14-Фев-25, (52)

Метки очевидно лучше Они абстрактны, не привязаны к организации файлов на фс и , Аноним (24), 03:33 , 16-Фев-25, (72)

Отключаю AppArmor SELinux сразу после установки линпуса , Аноним (3), 14:45 , 13-Фев-25, (2) –5

Вынимаю АБС из машины сразу после покупки , Аноним (6), 15:05 , 13-Фев-25, (5) +4

и вырываю подушки безопасности, Аноним (-), 15:16 , 13-Фев-25, (9) +4

Пфф, нубасы Выбрасываю всю электронику из машины , Аноним (3), 15:39 , 13-Фев-25, (12) +1

а зачем переплачивал покупай отческий автопром, там такого нет , Аноним (14), 15:42 , 13-Фев-25, (14)

Типичный ЭКСПЕРТ с Опеннета Тут таких многоЕзжу на отечественном автопроме П, Ыыыыы (?), 16:29 , 13-Фев-25, (20)

Чаохуньвсунь это китайской отечественный аатопром , Аноним (21), 16:34 , 13-Фев-25, (21) +1

Хватит бредить Какое отношение Лада Веста имеет к китайскому автопрому , Ыыыыы (?), 16:37 , 13-Фев-25, (25)

Имеет отношение на 99 всех сборочных деталей , Аноним (27), 16:41 , 13-Фев-25, (27) –1

Можно подумать что в каком нить Форде - они _не_ китайские, ага - ЩАЗЗЗ , _ (??), 22:15 , 13-Фев-25, (45) –1
Тогда и немецкий автопром это или китайско-российско-камбоджийско-таджикский та, EULA (?), 07:00 , 14-Фев-25, (56)

Какое отношение Лада Веста имеет к российскому автопрому , какая разница (?), 18:06 , 13-Фев-25, (36) +1
Какое отношение Лада Веста имеет к автомобилям , Аноним (24), 20:27 , 13-Фев-25, (42) +2

Покупал-то до 2022-го , Аноним (31), 17:27 , 13-Фев-25, (32)
Усилитель руля ламповый , Аноним (31), 17:38 , 13-Фев-25, (35) +2

Прогнулись под АНБ, получается, Fracta1L (ok), 15:08 , 13-Фев-25, (7) –1
Lol напомните, оракл уже убрал из мануала по инсталляции отключить селинукс к т, Фрол (?), 15:35 , 13-Фев-25, (10) –2

Не только убрал, но и требует теперь его включения для всех новых деплоев И для, Аноним (24), 20:25 , 13-Фев-25, (40)

ох нетиполез на docs oracle com свериться, для версии 23аи АИ, не ер собачий , Фрол (?), 03:57 , 14-Фев-25, (53) +1

Слабак А я прочитал и неплохо зарабатывал полтора года консультируя интеграторо, Аноним (24), 03:36 , 16-Фев-25, (73)

Ждем когда Леннарт запилит ЭсИЛинукс в системДи Загрузку по сети он уже сделал,, Ося Бендер (?), 15:39 , 13-Фев-25, (11)

Работодатель Леннарта сказал надо, он ответил есть , Аноним (21), 16:35 , 13-Фев-25, (22) +1

В SELinux уже добавили адрес системного образа по умолчанию для загрузки по http, Аноним (13), 15:40 , 13-Фев-25, (13)

И проверку подписи ключом работодателя Поттеринга , Аноним (31), 17:36 , 13-Фев-25, (33)

Однозначно, SELinux - лишняя сущность Её видимо создавали под впечатлением вант, Аноним (16), 15:52 , 13-Фев-25, (16) –2

А как с этим у арчеводов , zog (??), 16:09 , 13-Фев-25, (19) +1

Никак Официально поддержки нет и нужно всё перекомпилировать c флагом selinux, vlad1.96 (ok), 16:36 , 13-Фев-25, (23)

Да хорош, блин Уже третья причина вернуться когда-то давно им пользовался на, Аноним (26), 16:40 , 13-Фев-25, (26) +1

Но сами ядра уже собраны с поддержкой, не волнуйся - Это всякие coreutils и т п, vlad1.96 (ok), 16:47 , 13-Фев-25, (29)

https wiki archlinux org title SELinux, Аноним (38), 19:07 , 13-Фев-25, (38)

Статья старая Там половина не соберется, мне приходилось писать свои скрипты и , Семен (??), 20:16 , 13-Фев-25, (39) +4

Сам не ставил, но подозрения насчёт отсутствия политик было Какой-нибудь Centos, vlad1.96 (ok), 13:29 , 14-Фев-25, (63)

Ну да ну да За 30 лет я не видел ни один взломанный сервер с selinux, только , Семен (??), 20:26 , 13-Фев-25, (41)

Чтобы тебе не взломали сервер nftables в руки, Аноним (-), 06:10 , 14-Фев-25, (54) –3

RSBAC кто-нибудь использует Как оно сегодня , Аноним (30), 16:55 , 13-Фев-25, (30)

Те кто пользуют - обычно молчат , _ (??), 22:19 , 13-Фев-25, (46)
ну, он живой разраб на сайте отписывается, на lts-ядра портирует я не тыкала, иб, мяв (?), 01:34 , 14-Фев-25, (51)

Кто знает, если при включенном AppArmor сделать mount --bind, контроль сохранитс, Аноним (44), 22:14 , 13-Фев-25, (44)

каво и куда Вы собрались --bind не уверена, как в АА, но tomoyo просто сделает , мяв (?), 01:32 , 14-Фев-25, (50)

Что будет если в контейнере кто-то сделает bind с одного пути на другой, наприме, Аноним (44), 09:34 , 14-Фев-25, (59)

При условии, что access разрешён рекурсивно, Аноним (44), 09:37 , 14-Фев-25, (60) –1
МАСи в принципе без политики под всё окружение не работают у Вас у процессов не , мяв (?), 11:19 , 14-Фев-25, (61)

Отлично, и зачем тогда MAC нужен Это получается, что как только у приложения по, Аноним (44), 20:41 , 15-Фев-25, (70)

затем, чтобы добить до состояния, когда дальше будет только подсистема lsm прони, мяв (?), 08:37 , 18-Фев-25, (76)

вау еще один дистрибутив с refpolicy от rh это надо отметить Зы а если серь, мяв (?), 01:29 , 14-Фев-25, (48) +1

еще благодаря patternize, режиму обучения и acl-группам теперь почти не правлю п, мяв (?), 01:30 , 14-Фев-25, (49)
Execute сделать запрещает простое монтирование noexec для таких мест как home, , Аноним (65), 17:57 , 14-Фев-25, (65)

угу и какое отношение имеет защита от rce на уровне ядра монтирование var с , мяв (?), 00:02 , 15-Фев-25, (68)

tmpfs, Аноним (65), 18:04 , 14-Фев-25, (66)
толку от этого селинукса вон, в андроидах везде включён по умолчанию, так телеф, Аноним (74), 20:06 , 16-Фев-25, (74)

Сообщения [Сортировка по времени | RSS]

1. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (1), 13-Фев-25, 14:36

Зря они так. Этот SELinux чёрт ногу сломит настраивать. Если всё из коробки (дистрибутива) - то Ok, пробоем нет, но как только нужно сделать шаг влево или вправо или доустановить что-то нестандартное, начинается ад, который часто заканчивается просто отключением SELinux.
AppArmor интуитивно понятен и удобен, сразу ясно, что и где.

Ответить | Правка | Наверх | Cообщить модератору

3. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от Аноним (3), 13-Фев-25, 14:53

Зато SELinux качественный, от АНБ.

Ответить | Правка | Наверх | Cообщить модератору

6. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +3 +/–

Сообщение от Аноним (6), 13-Фев-25, 15:06

Анб это министерства обороны. А они разбираются в безопасности.

Ответить | Правка | Наверх | Cообщить модератору

8. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от Аноним (-), 13-Фев-25, 15:15

а агенство нац безопасности - минздрав?

Ответить | Правка | Наверх | Cообщить модератору

15. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –1 +/–

Сообщение от Аноним (15), 13-Фев-25, 15:52

Вам ещё повезло. У нас - минкульт. И это не прикол. А ещё они выездные визы дают.

Ответить | Правка | Наверх | Cообщить модератору

75. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (75), 16-Фев-25, 20:13

Это где такое?

Ответить | Правка | Наверх | Cообщить модератору

43. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (43), 13-Фев-25, 21:21

Все военные готовятся к прошлой войне. Говорят )

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

4. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от penetrator (?), 13-Фев-25, 14:55

ну не то, чтобы сложно, но нарягает
кстати у меня после последних апдейтов apparmor, наверное будет при установки selinux по умолчанию

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (24), 13-Фев-25, 16:36

> Этот SELinux чёрт ногу сломит настраивать
Для таких они специально комикс нарисовали, но видимо и это слишком сложно. Остаётся только посоветовать setenforce 0.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

64. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от onanim (?), 14-Фев-25, 14:42

https://files.catbox.moe/khxzwj.jpg этот?

Ответить | Правка | Наверх | Cообщить модератору

71. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (24), 16-Фев-25, 03:30

Нет, другой. Без шутеечек. Я ханипот с selinux и рутовым паролем 123 выставлял в интернет для лулзов ещё в 2017. Всем офисом ухахатывались, как лалка из-под рута несколько раз делает ls /etc, cat /etc/shadow, passwd итп, получает в ответ фигу и отваливается. Соглашусь, конечно, что развлечения у нас тогда были довольно туповатые, но и мы тоже не гроссмейстеры были.

Ответить | Правка | Наверх | Cообщить модератору

31. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –1 +/–

Сообщение от Аноним (31), 13-Фев-25, 17:25

>начинается ад, который часто заканчивается просто отключением SELinux
Это всё потому, что SELinux всё ещё не сделали сервисом systemd.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

52. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от мяв (?), 14-Фев-25, 01:37

>интуитивно понятен и удобен
только, если Вы мазохист .. и если Вам надо видимость, а не хоть какую-то защиту .. любой меткооснованный МАС будет удобней и быстрее настроить, чем _такой_ путеоснованный.
посмотрите на нормальные примеры путеоснованных МАСов, вроде tomoyo - сильно удивитесь.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

72. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (24), 16-Фев-25, 03:33

Метки очевидно лучше. Они абстрактны, не привязаны к организации файлов на фс и не теряют субъективный смысл при перемещении в другой каталог или на другой хост.

Ответить | Правка | Наверх | Cообщить модератору

2. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –5 +/–

Сообщение от Аноним (3), 13-Фев-25, 14:45

Отключаю AppArmor + SELinux сразу после установки линпуса.

Ответить | Правка | Наверх | Cообщить модератору

5. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +4 +/–

Сообщение от Аноним (6), 13-Фев-25, 15:05

Вынимаю АБС из машины сразу после покупки.

Ответить | Правка | Наверх | Cообщить модератору

9. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +4 +/–

Сообщение от Аноним (-), 13-Фев-25, 15:16

и вырываю подушки безопасности

Ответить | Правка | Наверх | Cообщить модератору

12. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от Аноним (3), 13-Фев-25, 15:39

Пфф, нубасы. Выбрасываю всю электронику из машины!

Ответить | Правка | Наверх | Cообщить модератору

14. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (14), 13-Фев-25, 15:42

а зачем переплачивал? покупай отческий автопром, там такого нет :)

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

20. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Ыыыыы (?), 13-Фев-25, 16:29

> а зачем переплачивал? покупай отческий автопром, там такого нет :)
Типичный ЭКСПЕРТ с Опеннета... Тут таких много
Езжу на отечественном автопроме. Подушки и АБС в наличии. И усилитель руля тоже.

Ответить | Правка | Наверх | Cообщить модератору

21. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от Аноним (21), 13-Фев-25, 16:34

Чаохуньвсунь это китайской отечественный аатопром.

Ответить | Правка | Наверх | Cообщить модератору

25. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Ыыыыы (?), 13-Фев-25, 16:37

> Чаохуньвсунь это китайской отечественный аатопром.
Хватит бредить! Какое отношение Лада Веста имеет к китайскому автопрому?

Ответить | Правка | Наверх | Cообщить модератору

27. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –1 +/–

Сообщение от Аноним (27), 13-Фев-25, 16:41

Имеет отношение на 99% всех сборочных деталей.

Ответить | Правка | Наверх | Cообщить модератору

45. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –1 +/–

Сообщение от _ (??), 13-Фев-25, 22:15

Можно подумать что в каком нить Форде - они _не_ китайские, ага - ЩАЗЗЗ! :)

Ответить | Правка | Наверх | Cообщить модератору

56. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от EULA (?), 14-Фев-25, 07:00

Тогда и немецкий автопром это или китайско-российско-камбоджийско-таджикский: там 99,9% изготавливают в России, КНР, Камбоджи, Таджикистане. Из немецкого там только пластик был.
Не зря же в прошлом году Порше перетащили последний завод по сбору в КНР. Двигатели их теперь в Душанбе собирают.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

36. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от какая разница (?), 13-Фев-25, 18:06

Какое отношение Лада Веста имеет к российскому автопрому?

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

42. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +2 +/–

Сообщение от Аноним (24), 13-Фев-25, 20:27

> Какое отношение Лада Веста имеет к китайскому автопрому?
Какое отношение Лада Веста имеет к автомобилям?

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

32. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (31), 13-Фев-25, 17:27

Покупал-то до 2022-го?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

35. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +2 +/–

Сообщение от Аноним (31), 13-Фев-25, 17:38

Усилитель руля ламповый?

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

7. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –1 +/–

Сообщение от Fracta1L (ok), 13-Фев-25, 15:08

Прогнулись под АНБ, получается

Ответить | Правка | Наверх | Cообщить модератору

10. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –2 +/–

Сообщение от Фрол (?), 13-Фев-25, 15:35

Lol напомните, оракл уже убрал из мануала по инсталляции "отключить селинукс к такой то маме"?

Ответить | Правка | Наверх | Cообщить модератору

40. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (24), 13-Фев-25, 20:25

Не только убрал, но и требует теперь его включения для всех новых деплоев. И для увеличения градуса горения: Оракл так же рекомендует все новые деплои делать в виртуальные машины в облаке, и публикует соответствующие подробнейшие инструкции как это должно выглядеть. А для тех, у кого времени читать инструкции нет они свой свобственный клауд запилили. Такой вот лол.

Ответить | Правка | Наверх | Cообщить модератору

53. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от Фрол (?), 14-Фев-25, 03:57

ох нети
полез на docs.oracle.com свериться, для версии 23аи (АИ, не ер собачий!) ни одна дока не открылась, заглянул в линукс инсталлейшн гайд, а там прямо в предисловии третий раздел Диверсионность И Инклюзивность. тьфу ты.
не стал дальше и читать, тут не исправить уже ничего, господь, жги. я слишком стар для этого вида дерьма.

Ответить | Правка | Наверх | Cообщить модератору

73. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (24), 16-Фев-25, 03:36

Слабак. А я прочитал и неплохо зарабатывал полтора года консультируя интеграторов.

Ответить | Правка | Наверх | Cообщить модератору

11. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Ося Бендер (?), 13-Фев-25, 15:39

Ждем когда Леннарт запилит ЭсИЛинукс в системДи. Загрузку по сети он уже сделал, сделает и это.

Ответить | Правка | Наверх | Cообщить модератору

22. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от Аноним (21), 13-Фев-25, 16:35

Работодатель Леннарта сказал надо, он ответил есть!

Ответить | Правка | Наверх | Cообщить модератору

13. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (13), 13-Фев-25, 15:40

В SELinux уже добавили адрес системного образа по умолчанию для загрузки по http?

Ответить | Правка | Наверх | Cообщить модератору

33. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (31), 13-Фев-25, 17:36

И проверку подписи ключом работодателя Поттеринга.

Ответить | Правка | Наверх | Cообщить модератору

16. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –2 +/–

Сообщение от Аноним (16), 13-Фев-25, 15:52

Однозначно, SELinux - лишняя сущность. Её видимо создавали под впечатлением вантузныйх прав доступа. Истинный линуксоид будет избегать SELinux.

Ответить | Правка | Наверх | Cообщить модератору

19. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от zog (??), 13-Фев-25, 16:09

А как с этим у арчеводов?

Ответить | Правка | Наверх | Cообщить модератору

23. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от vlad1.96 (ok), 13-Фев-25, 16:36

Никак. Официально поддержки нет и нужно всё перекомпилировать c флагом selinux

Ответить | Правка | Наверх | Cообщить модератору

26. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от Аноним (26), 13-Фев-25, 16:40

Да хорош, блин.
Уже третья причина "вернуться" (когда-то давно им пользовался) на рачик за пару дней. Сидел же на Федоре последний год, горе не знал... :(

Ответить | Правка | Наверх | Cообщить модератору

29. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от vlad1.96 (ok), 13-Фев-25, 16:47

Но сами ядра уже собраны с поддержкой, не волнуйся :-)
Это всякие coreutils и т.п. нужно собирать с флагом, а ядро по умолчанию поддерживает

Ответить | Правка | Наверх | Cообщить модератору

38. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (38), 13-Фев-25, 19:07

https://wiki.archlinux.org/title/SELinux

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

39. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +4 +/–

Сообщение от Семен (??), 13-Фев-25, 20:16

Статья старая. Там половина не соберется, мне приходилось писать свои скрипты и патчи, я один из немногих кто смог завести арч с selinux 2-3 года назад, у меня раньше был форк арча для себя и он работал с selinux. Референсные политики придется подгонять под систему, и вы все равно будете получать блокировку системы, и надо не мало доделывать под свою систему. Я советую не тратить время и нервы на arch c selinux, особенно без наличия глубокого опыта с selinux, и если вы никогда не читали книгу The SELinux Notebook. Нормальная поддержка из коробки есть только в продуктах производных от Red Hat. Поэтому это эталон, у остальных если и есть поддержка selinux, то это куча костылей.

Ответить | Правка | Наверх | Cообщить модератору

63. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от vlad1.96 (ok), 14-Фев-25, 13:29

Сам не ставил, но подозрения насчёт отсутствия политик было. Какой-нибудь Centos Stream хоть изначально целостных, а что делать со сборными солянками — большой вопрос.

Ответить | Правка | Наверх | Cообщить модератору

41. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Семен (??), 13-Фев-25, 20:26

Ну да ну да... За 30 лет я не видел ни один взломанный сервер с selinux, только те где сделали setenforce 0, при этом на них крутились веб сайты с дырявыми движками, и selinux не давал раскрутить и реализовать уязвимости, даже если где-то удавалось получить шел, то эксплоиты просто отваливались, а шел не давал возможность получить даже листинг директорий за пределами сайта и читать файлы типа /etc/passwd, конфиги системы. Надежнее selinux нет мандатного контроля, чтобы себе неосилянты не придумывали.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

54. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –3 +/–

Сообщение от Аноним (-), 14-Фев-25, 06:10

Чтобы тебе не взломали сервер nftables в руки

Ответить | Правка | Наверх | Cообщить модератору

30. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (30), 13-Фев-25, 16:55

RSBAC кто-нибудь использует?
Как оно сегодня?

Ответить | Правка | Наверх | Cообщить модератору

46. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от _ (??), 13-Фев-25, 22:19

Те кто пользуют - обычно молчат :)

Ответить | Правка | Наверх | Cообщить модератору

51. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от мяв (?), 14-Фев-25, 01:34

ну, он живой.
разраб на сайте отписывается, на lts-ядра портирует.
я не тыкала, ибо не то, что мне нужно было

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

44. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (44), 13-Фев-25, 22:14

>AppArmor прост в настройке и при определении профилей доступа привязывается к файловым путям.
Кто знает, если при включенном AppArmor сделать mount --bind, контроль сохранится или нет?

Ответить | Правка | Наверх | Cообщить модератору

50. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от мяв (?), 14-Фев-25, 01:32

каво и куда Вы собрались --bind ?
не уверена, как в АА, но tomoyo просто сделает новый домен для файла из забинженой директории.
если к конкретному пути не было прописано доступа - его и у приложения не будет.

Ответить | Правка | Наверх | Cообщить модератору

59. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (44), 14-Фев-25, 09:34

Что будет если в контейнере кто-то сделает bind с одного пути на другой, например на разреёшнный? Есть /access/ и /deny/. Что будет, если сделать mount --bind /deny /access/a - путь будет обрабатываться как разрешённый или нет?

Ответить | Правка | Наверх | Cообщить модератору

60. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." –1 +/–

Сообщение от Аноним (44), 14-Фев-25, 09:37

При условии, что access разрешён рекурсивно

Ответить | Правка | Наверх | Cообщить модератору

61. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от мяв (?), 14-Фев-25, 11:19

МАСи в принципе без политики под всё окружение не работают.
у Вас у процессов не должно возможности быть черт-те что биндить черт-те куда. как и запускать, что попало.
если в папке /Orig у Вас, условно, был файл MyFile и у домена было `file write /Orig/MyFile`, то при биндинге с /Orig на /Bind, доступа у приложения к /Bind/MyFile не будет.
ровно, как и исполняемому файлу /Bind/MyExe не будет присвоен тот же домен, что у /Orig/MyExe.
это будет 2 разных домена и 2 разные иерархии.
у tomoyo для таких финтов с исполняемыми файлами есть политика исключений, где прописывается строка вида `aggregator /Bind/MyExe /Orig/MyExe` для обработке 1го пути в контексте домена 2го и избежания клонирования политики.
для файлов просто пишете 2 записи на write - для 2х путей.
или создаете в политике исключений path-группу, куда добавляете 2 файла и даете приложению `file write @MyPathGroup`.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

70. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (44), 15-Фев-25, 20:41

>у Вас у процессов не должно возможности быть черт-те что биндить черт-те куда. как и запускать, что попало
Отлично, и зачем тогда MAC нужен? Это получается, что как только у приложения появилась возможность повысить привелегии, то весь этот MAC элементарно обходится.

Ответить | Правка | Наверх | Cообщить модератору

76. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от мяв (?), 18-Фев-25, 08:37

затем, чтобы добить до состояния, когда дальше будет только подсистема lsm.
проникновений в которую не было уже давненько

Ответить | Правка | Наверх | Cообщить модератору

48. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +1 +/–

Сообщение от мяв (?), 14-Фев-25, 01:29

вау!
еще один дистрибутив с .. refpolicy от rh! это надо отметить!
Зы. а если серьезно, то молодцы. АА - хлам тот еще, неспособный почти ни на что.
интересно, почему никто не хочет адаптировать tomoyo ? точнее, как .. я понимаю, почему - это сложно.
но это буквально "таблетка от всех болезеней". ибо есть возможность даже предотвращения исполнения кода на уровне ядра(если проблема не позволяет, конечно, попятить lsm). к примеру, от недавнего RCE в tcp-стеке оно защищает - ядро просто не сможет execute сделать на левый файл.
1 год потратила на поэтапную настройку(с 4мя попытками в нормальную политику. если б сразу очилила всю документацию, а не на половину, то было б меньше) и теперь 95% уязвимостей просто невозможны.

Ответить | Правка | Наверх | Cообщить модератору

49. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от мяв (?), 14-Фев-25, 01:30

еще благодаря patternize, режиму обучения и acl-группам теперь почти не правлю политики для новых приложений руками.

Ответить | Правка | Наверх | Cообщить модератору

65. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (65), 14-Фев-25, 17:57

Execute сделать запрещает простое монтирование noexec для таких мест как /home, /var ... Если считать рутовый код доверенным, то exec можно снять только для разделов куда пишет пользователь. Получается w^x на уровне фс.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

68. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от мяв (?), 15-Фев-25, 00:02

угу .. и какое отношение имеет защита от rce на уровне ядра монтирование /var с noexec .. ?

Ответить | Правка | Наверх | Cообщить модератору

66. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (65), 14-Фев-25, 18:04

tmpfs

Ответить | Правка | Наверх | Cообщить модератору

74. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..." +/–

Сообщение от Аноним (74), 16-Фев-25, 20:06

толку от этого селинукса? вон, в андроидах везде включён по умолчанию, так телефоны щёлкают как орехи миллионами через уязвимости в каком-нибудь воцапе.
для серверов, может, он имеет смысл, если нет ГУИ, но если планируется запускать что-то графическое (особенно через вайн), то оно просто не запустится.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
Сообщение от Аноним (1), 13-Фев-25, 14:36
Зря они так. Этот SELinux чёрт ногу сломит настраивать. Если всё из коробки (дистрибутива) - то Ok, пробоем нет, но как только нужно сделать шаг влево или вправо или доустановить что-то нестандартное, начинается ад, который часто заканчивается просто отключением SELinux. AppArmor интуитивно понятен и удобен, сразу ясно, что и где.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+1 +/–
	Сообщение от Аноним (3), 13-Фев-25, 14:53
	Зато SELinux качественный, от АНБ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+3 +/–
	Сообщение от Аноним (6), 13-Фев-25, 15:06
	Анб это министерства обороны. А они разбираются в безопасности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+1 +/–
	Сообщение от Аноним (-), 13-Фев-25, 15:15
	а агенство нац безопасности - минздрав?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	–1 +/–
	Сообщение от Аноним (15), 13-Фев-25, 15:52
	Вам ещё повезло. У нас - минкульт. И это не прикол. А ещё они выездные визы дают.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Аноним (75), 16-Фев-25, 20:13
	Это где такое?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Аноним (43), 13-Фев-25, 21:21
	Все военные готовятся к прошлой войне. Говорят )
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	4. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от penetrator (?), 13-Фев-25, 14:55
	ну не то, чтобы сложно, но нарягает кстати у меня после последних апдейтов apparmor, наверное будет при установки selinux по умолчанию
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	24. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Аноним (24), 13-Фев-25, 16:36
	> Этот SELinux чёрт ногу сломит настраивать Для таких они специально комикс нарисовали, но видимо и это слишком сложно. Остаётся только посоветовать setenforce 0.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	64. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от onanim (?), 14-Фев-25, 14:42
	https://files.catbox.moe/khxzwj.jpg этот?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	71. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Аноним (24), 16-Фев-25, 03:30
	Нет, другой. Без шутеечек. Я ханипот с selinux и рутовым паролем 123 выставлял в интернет для лулзов ещё в 2017. Всем офисом ухахатывались, как лалка из-под рута несколько раз делает ls /etc, cat /etc/shadow, passwd итп, получает в ответ фигу и отваливается. Соглашусь, конечно, что развлечения у нас тогда были довольно туповатые, но и мы тоже не гроссмейстеры были.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	–1 +/–
	Сообщение от Аноним (31), 13-Фев-25, 17:25
	>начинается ад, который часто заканчивается просто отключением SELinux Это всё потому, что SELinux всё ещё не сделали сервисом systemd.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	52. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от мяв (?), 14-Фев-25, 01:37
	>интуитивно понятен и удобен только, если Вы мазохист .. и если Вам надо видимость, а не хоть какую-то защиту .. любой меткооснованный МАС будет удобней и быстрее настроить, чем _такой_ путеоснованный. посмотрите на нормальные примеры путеоснованных МАСов, вроде tomoyo - сильно удивитесь.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	72. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Аноним (24), 16-Фев-25, 03:33
	Метки очевидно лучше. Они абстрактны, не привязаны к организации файлов на фс и не теряют субъективный смысл при перемещении в другой каталог или на другой хост.
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	–5 +/–
Сообщение от Аноним (3), 13-Фев-25, 14:45
Отключаю AppArmor + SELinux сразу после установки линпуса.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+4 +/–
	Сообщение от Аноним (6), 13-Фев-25, 15:05
	Вынимаю АБС из машины сразу после покупки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+4 +/–
	Сообщение от Аноним (-), 13-Фев-25, 15:16
	и вырываю подушки безопасности
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+1 +/–
	Сообщение от Аноним (3), 13-Фев-25, 15:39
	Пфф, нубасы. Выбрасываю всю электронику из машины!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Аноним (14), 13-Фев-25, 15:42
	а зачем переплачивал? покупай отческий автопром, там такого нет :)
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	20. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Ыыыыы (?), 13-Фев-25, 16:29
	> а зачем переплачивал? покупай отческий автопром, там такого нет :) Типичный ЭКСПЕРТ с Опеннета... Тут таких много Езжу на отечественном автопроме. Подушки и АБС в наличии. И усилитель руля тоже.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+1 +/–
	Сообщение от Аноним (21), 13-Фев-25, 16:34
	Чаохуньвсунь это китайской отечественный аатопром.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Ыыыыы (?), 13-Фев-25, 16:37
	> Чаохуньвсунь это китайской отечественный аатопром. Хватит бредить! Какое отношение Лада Веста имеет к китайскому автопрому?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	–1 +/–
	Сообщение от Аноним (27), 13-Фев-25, 16:41
	Имеет отношение на 99% всех сборочных деталей.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	–1 +/–
	Сообщение от _ (??), 13-Фев-25, 22:15
	Можно подумать что в каком нить Форде - они _не_ китайские, ага - ЩАЗЗЗ! :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от EULA (?), 14-Фев-25, 07:00
	Тогда и немецкий автопром это или китайско-российско-камбоджийско-таджикский: там 99,9% изготавливают в России, КНР, Камбоджи, Таджикистане. Из немецкого там только пластик был. Не зря же в прошлом году Порше перетащили последний завод по сбору в КНР. Двигатели их теперь в Душанбе собирают.
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	36. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+1 +/–
	Сообщение от какая разница (?), 13-Фев-25, 18:06
	Какое отношение Лада Веста имеет к российскому автопрому?
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	42. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+2 +/–
	Сообщение от Аноним (24), 13-Фев-25, 20:27
	> Какое отношение Лада Веста имеет к китайскому автопрому? Какое отношение Лада Веста имеет к автомобилям?
	Ответить \| Правка \| К родителю #25 \| Наверх \| Cообщить модератору


	32. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+/–
	Сообщение от Аноним (31), 13-Фев-25, 17:27
	Покупал-то до 2022-го?
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	35. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	+2 +/–
	Сообщение от Аноним (31), 13-Фев-25, 17:38
	Усилитель руля ламповый?
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору

7. "Дистрибутив openSUSE Tumbleweed перешёл на использование SEL..."	–1 +/–
Сообщение от Fracta1L (ok), 13-Фев-25, 15:08
Прогнулись под АНБ, получается
Ответить \| Правка \| Наверх \| Cообщить модератору