Согласен,  фсбшники,фсошники и эшники куда опасней для россиян, чем анбшники : и штрафы они  за любые комментарии  могут выписать и мордой об пол стукануть и посадить на несколько лет без всяких оснований тоже. Любого!И первую очередь, кто несогласен с Путиным по всем его текущим и будущим мнениям.

ну-ну.



file /bin/sh
/bin/sh: ELF 64-bit LSB shared object, x86-64, version 1

> cp /bin/bash /bin/sh вместо ln -s /bin/bash /bin/sh

Ыкспертус, чо.



head /usr/src/bin/sh/sh.1
.\"-
.\" Copyright (c) 1991, 1993
.\" The Regents of the University of California.  All rights reserved.

ну да, для этого ж мозги нужны, а с ними на рынке напряженка (все уже АНБ скуплены и съедены).

А сами авторы то ли не хотят делиться, то ли в системах для обработки classified данных именно этим и именно вот так и пользуются (ну, cat с vi там можно, в принципе, запустить, иногда) - в конце-концов, потратил же кто-то неприличное количество времени на написание образцовой политики. Еще в каком там - 2004-м, что-ли?

Обезьянка с audit2allow?

И он сказал вам, что это чем-то заметно лучше permissive-а/selinux-off-а, или вы сами так решили? Интересует передовой опыт продакшена.

других нет, а поставить софт надо, никому не нужна твоя идеально настроенная система с selinux, нужно то, ради чего ее ставили.
К тому же такие же точно люди обычно и код пишут, поэтому зачастую audit2allow или пристальной медитацией над логом не обойдешься, надо делать собственные targets (которые помогут наполовину, потому что софт selinux-unaware, и не умеет элементарных вещей, поэтому один хрен разрешить придется слишком многое)

обычно на это занятие нет ни времени, ни вдохновения - поэтому пользы от selinux в реальном мире, увы, немного. А какой-то более высокоуровневой и пригодной к употреблению альтернативы - нет и не будет, поляна уже обгажена равномерно с трех сторон.