Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Дистрибутив openSUSE Tumbleweed перешёл на использование SELinux по умолчанию"	+/–
Сообщение от opennews (??), 13-Фев-25, 14:36
Разработчики проекта openSUSE объявили о переводе дистрибутива openSUSE Tumbleweed, в котором применяется непрерывный цикл обновления версий программ (rolling-обновления), на  использование системы принудительного контроля доступа SELinux. Начиная с обновления 20250211 для новых установок openSUSE Tumbleweed по умолчанию предлагается SELinux в режиме "enforcing". Готовые сборки виртуальных машин openSUSE Tumbleweed minimalVM  будут поставляться по умолчанию с SELinux... Подробнее: https://www.opennet.me/opennews/art.shtml?num=62715
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 13-Фев-25, 14:36	+/–
Зря они так. Этот SELinux чёрт ногу сломит настраивать. Если всё из коробки (дистрибутива) - то Ok, пробоем нет, но как только нужно сделать шаг влево или вправо или доустановить что-то нестандартное, начинается ад, который часто заканчивается просто отключением SELinux. AppArmor интуитивно понятен и удобен, сразу ясно, что и где.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #4, #24, #31, #52

2. Сообщение от Аноним (3), 13-Фев-25, 14:45	–5 +/–
Отключаю AppArmor + SELinux сразу после установки линпуса.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

3. Сообщение от Аноним (3), 13-Фев-25, 14:53	+1 +/–
Зато SELinux качественный, от АНБ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

4. Сообщение от penetrator (?), 13-Фев-25, 14:55	+/–
ну не то, чтобы сложно, но нарягает кстати у меня после последних апдейтов apparmor, наверное будет при установки selinux по умолчанию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

5. Сообщение от Аноним (6), 13-Фев-25, 15:05	+4 +/–
Вынимаю АБС из машины сразу после покупки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #9, #14

6. Сообщение от Аноним (6), 13-Фев-25, 15:06	+3 +/–
Анб это министерства обороны. А они разбираются в безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8, #43

7. Сообщение от Fracta1L (ok), 13-Фев-25, 15:08	–1 +/–
Прогнулись под АНБ, получается
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (-), 13-Фев-25, 15:15	+1 +/–
а агенство нац безопасности - минздрав?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #15

9. Сообщение от Аноним (-), 13-Фев-25, 15:16	+4 +/–
и вырываю подушки безопасности
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #12

10. Сообщение от Фрол (?), 13-Фев-25, 15:35	–2 +/–
Lol напомните, оракл уже убрал из мануала по инсталляции "отключить селинукс к такой то маме"?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

11. Сообщение от Ося Бендер (?), 13-Фев-25, 15:39	+/–
Ждем когда Леннарт запилит ЭсИЛинукс в системДи. Загрузку по сети он уже сделал, сделает и это.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

12. Сообщение от Аноним (3), 13-Фев-25, 15:39	+1 +/–
Пфф, нубасы. Выбрасываю всю электронику из машины!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от Аноним (13), 13-Фев-25, 15:40	+/–
В SELinux уже добавили адрес системного образа по умолчанию для загрузки по http?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

14. Сообщение от Аноним (14), 13-Фев-25, 15:42	+/–
а зачем переплачивал? покупай отческий автопром, там такого нет :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #20

15. Сообщение от Аноним (15), 13-Фев-25, 15:52	–1 +/–
Вам ещё повезло. У нас - минкульт. И это не прикол. А ещё они выездные визы дают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #75

16. Сообщение от Аноним (16), 13-Фев-25, 15:52	–2 +/–
Однозначно, SELinux - лишняя сущность. Её видимо создавали под впечатлением вантузныйх прав доступа. Истинный линуксоид будет избегать SELinux.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #41

19. Сообщение от zog (??), 13-Фев-25, 16:09	+1 +/–
А как с этим у арчеводов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #23, #38

20. Сообщение от Ыыыыы (?), 13-Фев-25, 16:29	+/–
> а зачем переплачивал? покупай отческий автопром, там такого нет :) Типичный ЭКСПЕРТ с Опеннета... Тут таких много Езжу на отечественном автопроме. Подушки и АБС в наличии. И усилитель руля тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #21, #32, #35

21. Сообщение от Аноним (21), 13-Фев-25, 16:34	+1 +/–
Чаохуньвсунь это китайской отечественный аатопром.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #25

22. Сообщение от Аноним (21), 13-Фев-25, 16:35	+1 +/–
Работодатель Леннарта сказал надо, он ответил есть!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

23. Сообщение от vlad1.96 (ok), 13-Фев-25, 16:36	+/–
Никак. Официально поддержки нет и нужно всё перекомпилировать c флагом selinux
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #26

24. Сообщение от Аноним (24), 13-Фев-25, 16:36	+/–
> Этот SELinux чёрт ногу сломит настраивать Для таких они специально комикс нарисовали, но видимо и это слишком сложно. Остаётся только посоветовать setenforce 0.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #64

25. Сообщение от Ыыыыы (?), 13-Фев-25, 16:37	+/–
> Чаохуньвсунь это китайской отечественный аатопром. Хватит бредить! Какое отношение Лада Веста имеет к китайскому автопрому?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #27, #36, #42

26. Сообщение от Аноним (26), 13-Фев-25, 16:40	+1 +/–
Да хорош, блин. Уже третья причина "вернуться" (когда-то давно им пользовался) на рачик за пару дней. Сидел же на Федоре последний год, горе не знал... :(
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #29

27. Сообщение от Аноним (27), 13-Фев-25, 16:41	–1 +/–
Имеет отношение на 99% всех сборочных деталей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #45, #56

29. Сообщение от vlad1.96 (ok), 13-Фев-25, 16:47	+/–
Но сами ядра уже собраны с поддержкой, не волнуйся :-) Это всякие coreutils и т.п. нужно собирать с флагом, а ядро по умолчанию поддерживает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от Аноним (30), 13-Фев-25, 16:55	+/–
RSBAC кто-нибудь использует? Как оно сегодня?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #51

31. Сообщение от Аноним (31), 13-Фев-25, 17:25	–1 +/–
>начинается ад, который часто заканчивается просто отключением SELinux Это всё потому, что SELinux всё ещё не сделали сервисом systemd.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

32. Сообщение от Аноним (31), 13-Фев-25, 17:27	+/–
Покупал-то до 2022-го?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

33. Сообщение от Аноним (31), 13-Фев-25, 17:36	+/–
И проверку подписи ключом работодателя Поттеринга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

35. Сообщение от Аноним (31), 13-Фев-25, 17:38	+2 +/–
Усилитель руля ламповый?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

36. Сообщение от какая разница (?), 13-Фев-25, 18:06	+1 +/–
Какое отношение Лада Веста имеет к российскому автопрому?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

38. Сообщение от Аноним (38), 13-Фев-25, 19:07	+/–
https://wiki.archlinux.org/title/SELinux
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #39

39. Сообщение от Семен (??), 13-Фев-25, 20:16	+4 +/–
Статья старая. Там половина не соберется, мне приходилось писать свои скрипты и патчи, я один из немногих кто смог завести арч с selinux 2-3 года назад, у меня раньше был форк арча для себя и он работал с selinux. Референсные политики придется подгонять под систему, и вы все равно будете получать блокировку системы, и надо не мало доделывать под свою систему. Я советую не тратить время и нервы на arch c selinux, особенно без наличия глубокого опыта с selinux, и если вы никогда не читали книгу The SELinux Notebook. Нормальная поддержка из коробки есть только в продуктах производных от Red Hat. Поэтому это эталон, у остальных если и есть поддержка selinux, то это куча костылей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #63

40. Сообщение от Аноним (24), 13-Фев-25, 20:25	+/–
Не только убрал, но и требует теперь его включения для всех новых деплоев. И для увеличения градуса горения: Оракл так же рекомендует все новые деплои делать в виртуальные машины в облаке, и публикует соответствующие подробнейшие инструкции как это должно выглядеть. А для тех, у кого времени читать инструкции нет они свой свобственный клауд запилили. Такой вот лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #53

41. Сообщение от Семен (??), 13-Фев-25, 20:26	+/–
Ну да ну да... За 30 лет я не видел ни один взломанный сервер с selinux, только те где сделали setenforce 0, при этом на них крутились веб сайты с дырявыми движками, и selinux не давал раскрутить и реализовать уязвимости, даже если где-то удавалось получить шел, то эксплоиты просто отваливались, а шел не давал возможность получить даже листинг директорий за пределами сайта и читать файлы типа /etc/passwd, конфиги системы. Надежнее selinux нет мандатного контроля, чтобы себе неосилянты не придумывали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #54

42. Сообщение от Аноним (24), 13-Фев-25, 20:27	+2 +/–
> Какое отношение Лада Веста имеет к китайскому автопрому? Какое отношение Лада Веста имеет к автомобилям?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

43. Сообщение от Аноним (43), 13-Фев-25, 21:21	+/–
Все военные готовятся к прошлой войне. Говорят )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

44. Сообщение от Аноним (44), 13-Фев-25, 22:14	+/–
>AppArmor прост в настройке и при определении профилей доступа привязывается к файловым путям. Кто знает, если при включенном AppArmor сделать mount --bind, контроль сохранится или нет?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

45. Сообщение от _ (??), 13-Фев-25, 22:15	–1 +/–
Можно подумать что в каком нить Форде - они _не_ китайские, ага - ЩАЗЗЗ! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

46. Сообщение от _ (??), 13-Фев-25, 22:19	+/–
Те кто пользуют - обычно молчат :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

48. Сообщение от мяв (?), 14-Фев-25, 01:29	+1 +/–
вау! еще один дистрибутив с .. refpolicy от rh! это надо отметить! Зы. а если серьезно, то молодцы. АА - хлам тот еще, неспособный почти ни на что. интересно, почему никто не хочет адаптировать tomoyo ? точнее, как .. я понимаю, почему - это сложно. но это буквально "таблетка от всех болезеней". ибо есть возможность даже предотвращения исполнения кода на уровне ядра(если проблема не позволяет, конечно, попятить lsm). к примеру, от недавнего RCE в tcp-стеке оно защищает - ядро просто не сможет execute сделать на левый файл. 1 год потратила на поэтапную настройку(с 4мя попытками в нормальную политику. если б сразу очилила всю документацию, а не на половину, то было б меньше) и теперь 95% уязвимостей просто невозможны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49, #65

49. Сообщение от мяв (?), 14-Фев-25, 01:30	+/–
еще благодаря patternize, режиму обучения и acl-группам теперь почти не правлю политики для новых приложений руками.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

50. Сообщение от мяв (?), 14-Фев-25, 01:32	+/–
каво и куда Вы собрались --bind ? не уверена, как в АА, но tomoyo просто сделает новый домен для файла из забинженой директории. если к конкретному пути не было прописано доступа - его и у приложения не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #59

51. Сообщение от мяв (?), 14-Фев-25, 01:34	+/–
ну, он живой. разраб на сайте отписывается, на lts-ядра портирует. я не тыкала, ибо не то, что мне нужно было
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

52. Сообщение от мяв (?), 14-Фев-25, 01:37	+/–
>интуитивно понятен и удобен только, если Вы мазохист .. и если Вам надо видимость, а не хоть какую-то защиту .. любой меткооснованный МАС будет удобней и быстрее настроить, чем _такой_ путеоснованный. посмотрите на нормальные примеры путеоснованных МАСов, вроде tomoyo - сильно удивитесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #72

53. Сообщение от Фрол (?), 14-Фев-25, 03:57	+1 +/–
ох нети полез на docs.oracle.com свериться, для версии 23аи (АИ, не ер собачий!) ни одна дока не открылась, заглянул в линукс инсталлейшн гайд, а там прямо в предисловии третий раздел Диверсионность И Инклюзивность. тьфу ты. не стал дальше и читать, тут не исправить уже ничего, господь, жги. я слишком стар для этого вида дерьма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #73

54. Сообщение от Аноним (-), 14-Фев-25, 06:10	–3 +/–
Чтобы тебе не взломали сервер nftables в руки
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

56. Сообщение от EULA (?), 14-Фев-25, 07:00	+/–
Тогда и немецкий автопром это или китайско-российско-камбоджийско-таджикский: там 99,9% изготавливают в России, КНР, Камбоджи, Таджикистане. Из немецкого там только пластик был. Не зря же в прошлом году Порше перетащили последний завод по сбору в КНР. Двигатели их теперь в Душанбе собирают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

59. Сообщение от Аноним (44), 14-Фев-25, 09:34	+/–
Что будет если в контейнере кто-то сделает bind с одного пути на другой, например на разреёшнный? Есть /access/ и /deny/. Что будет, если сделать mount --bind /deny /access/a - путь будет обрабатываться как разрешённый или нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #60, #61

60. Сообщение от Аноним (44), 14-Фев-25, 09:37	–1 +/–
При условии, что access разрешён рекурсивно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

61. Сообщение от мяв (?), 14-Фев-25, 11:19	+/–
МАСи в принципе без политики под всё окружение не работают. у Вас у процессов не должно возможности быть черт-те что биндить черт-те куда. как и запускать, что попало. если в папке /Orig у Вас, условно, был файл MyFile и у домена было `file write /Orig/MyFile`, то при биндинге с /Orig на /Bind, доступа у приложения к /Bind/MyFile не будет. ровно, как и исполняемому файлу /Bind/MyExe не будет присвоен тот же домен, что у /Orig/MyExe. это будет 2 разных домена и 2 разные иерархии. у tomoyo для таких финтов с исполняемыми файлами есть политика исключений, где прописывается строка вида `aggregator /Bind/MyExe /Orig/MyExe` для обработке 1го пути в контексте домена 2го и избежания клонирования политики. для файлов просто пишете 2 записи на write - для 2х путей. или создаете в политике исключений path-группу, куда добавляете 2 файла и даете приложению `file write @MyPathGroup`.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #70

63. Сообщение от vlad1.96 (ok), 14-Фев-25, 13:29	+/–
Сам не ставил, но подозрения насчёт отсутствия политик было. Какой-нибудь Centos Stream хоть изначально целостных, а что делать со сборными солянками — большой вопрос.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

64. Сообщение от onanim (?), 14-Фев-25, 14:42	+/–
https://files.catbox.moe/khxzwj.jpg этот?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #71

65. Сообщение от Аноним (65), 14-Фев-25, 17:57	+/–
Execute сделать запрещает простое монтирование noexec для таких мест как /home, /var ... Если считать рутовый код доверенным, то exec можно снять только для разделов куда пишет пользователь. Получается  w^x на уровне фс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #68

66. Сообщение от Аноним (65), 14-Фев-25, 18:04	+/–
tmpfs
Ответить | Правка | Наверх | Cообщить модератору

68. Сообщение от мяв (?), 15-Фев-25, 00:02	+/–
угу .. и какое отношение имеет защита от rce на уровне ядра монтирование /var с noexec .. ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65

70. Сообщение от Аноним (44), 15-Фев-25, 20:41	+/–
>у Вас у процессов не должно возможности быть черт-те что биндить черт-те куда. как и запускать, что попало Отлично, и зачем тогда MAC нужен? Это получается, что как только у приложения появилась возможность повысить привелегии, то весь этот MAC элементарно обходится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #76

71. Сообщение от Аноним (24), 16-Фев-25, 03:30	+/–
Нет, другой. Без шутеечек. Я ханипот с selinux и рутовым паролем 123 выставлял в интернет для лулзов ещё в 2017. Всем офисом ухахатывались, как лалка из-под рута несколько раз делает ls /etc, cat /etc/shadow, passwd итп, получает в ответ фигу и отваливается. Соглашусь, конечно, что развлечения у нас тогда были довольно туповатые, но и мы тоже не гроссмейстеры были.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

72. Сообщение от Аноним (24), 16-Фев-25, 03:33	+/–
Метки очевидно лучше. Они абстрактны, не привязаны к организации файлов на фс и не теряют субъективный смысл при перемещении в другой каталог или на другой хост.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

73. Сообщение от Аноним (24), 16-Фев-25, 03:36	+/–
Слабак. А я прочитал и неплохо зарабатывал полтора года консультируя интеграторов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

74. Сообщение от Аноним (74), 16-Фев-25, 20:06	+/–
толку от этого селинукса? вон, в андроидах везде включён по умолчанию, так телефоны щёлкают как орехи миллионами через уязвимости в каком-нибудь воцапе. для серверов, может, он имеет смысл, если нет ГУИ, но если планируется запускать что-то графическое (особенно через вайн), то оно просто не запустится.
Ответить | Правка | Наверх | Cообщить модератору

75. Сообщение от Аноним (75), 16-Фев-25, 20:13	+/–
Это где такое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

76. Сообщение от мяв (?), 18-Фев-25, 08:37	+/–
затем, чтобы добить до состояния, когда дальше будет только подсистема lsm. проникновений в которую не было уже давненько
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема