LINUX.ORG.RU

Федора на рабочей станции (домашнем компьютере, офисном компьютере)

 , ,


0

1

Кто в теме движухи в апстриме Федоры, скажите, зачем нужны встроенные СЕлинукс и фаерволд на рабочей станции? В чем ценность? В чем у меня проблемы я вижу: селинукс мешает мне настроить работу нескольких приложений (hostblock, dnscrypt-proxy и тд), в с фаерволлд я вообще не сталкивался, потому что везде есть iptables/nftables, которые работают напрямую. Для чего нужны эти обертки в десятом поколении? В итоге чтобы пользоваться РАБОЧЕЙ СТАНЦИЕЙ мне надо курить мануалы по СЕлинуксу и фаерволлд, что просто обеспечить работу приложений и простейшей защиты.

Поныл немного, теперь второй вопрос. Есть ли какие-то неблагоприятные последствия кроме гипотетической потери в защите от кого-то там где-то там (на рабочей станции за 3 НАТами)? На чем СЕлинукс и фаерволлд завязаны и что может выйти из строя/не установится и тд? Имеет ли смысл рассматривать Федору как дистр при условии отключения этого ненужного мне барахла? Или может быть есть более простой выход их положения?

На потенциальный вопрос «а почему тогда не возьмешь убунту/минт/$GNU/LINUX, раз не нравится федора в том виде, в котором она есть?». Потому что я уже пробовал все более-менее апстримные дистрибутивы и они мне нравятся еще меньше по разным причинам. Распинаться в конкретике не буду для избежания срача не по текущей теме.

Господа анонимусы, надеюсь на ваше понимание. Оставляю возможность писать. Пишите по делу.

селинукс мешает мне настроить работу нескольких приложений

Откати.

с фаерволлд я вообще не сталкивался

Замени.

Федора это прогрессивный дистрибутив. Firewalld и selinux v2 рано или поздно будут везде, а ныть что что-то сейчас не работает, или ты чего-то не знаешь просто странно. Никто тебя не ограждает сделать так как тебе удобно.

Artamudo ★★★★
()
Последнее исправление: Artamudo (всего исправлений: 2)
Ответ на: комментарий от Artamudo

Федора себя позиционирует как готовый продукт для конечного пользователя. Мне для реализации казалось бы простых хотелок на рабочей станции приходится разбираться в тонких материях мироздания. Я к тому, что те, кто это годами или даже десятилетиями разрабатывает эти продукты, наверняка что-то придумали чтобы нивелировать проблемы с простейшими приложениями. Или это остается на горбу юзера? Я ж вроде не дженту собираю. Мне в дебри лезть нет времени и желания, я хочу поставить из официальных реп программу и запустить, чтобы она работала. Тупо конечно, но такова реальность. Я не возникаю по поводу того, что исключительно хреновый установщик, в репах нет некоторой нужной проприетарщины, жутко тормозит пакетный менеджер. Все это уже пройдено, адаптировано и привычно. Но нельзя же ожидать от юзера дистрибутива, который

is a polished, easy to use operating system for laptop and desktop computers, with a complete set of tools for developers and makers of all kinds 

разбираться, почему встроенный софт не позволяет работать программам из официальных реп.

Ну вот, опять поныл. Можете бросить камень. Но проблема то есть. Просто интересно, как реальные (если такие есть тут) пользователи федоры без замашен на сисадминов/девопсов и прочих технических специалистов по линуксу используют это в повседневности.

Lileiny
() автор топика

Федора на рабочей станции это жопа покруче Арча. Я джва года честно пытался юзать, проникался философией selinux и firewalld но в итоге постоянные ломающие апдейты довели и я забил. Последними каплями были сломанный pam-systemd, что привело к порче selinux-меток при одном из обновлений и негрузящайся системе, и сломанная mesa, из-за которой у sddm снесло крышу.

Khnazile ★★★★★
()
Ответ на: комментарий от Lileiny

в репах нет некоторой нужной проприетарщины

Ты хоть rpmfusion подключил?

жутко тормозит пакетный менеджер

Благодаря вездесущему питону. Вроде уже переписывают на плюсы.

Artamudo ★★★★
()

Слушайте, у меня Федоры не было 16 лет. Можно в ней этот селинукс вообще отключить?

tiinn ★★★★★
()

Ну хорошо, что я оказывается не один такой «хейтер» этих технологии и вопросы действительно есть. По поводу скорого внедрения СЕлинукса везде я считаю так. Если он к этому моменту будет работать на пользователя, а не против него, я за внедрение. А в таком виде, в котором он сейчас, я лучше буду сидеть на фрибсд, чем вот в этом вот кошмаре.

Возвращаясь к основному вопросу. Если я полностью вырублю СЕлинукс и фаерволлд, на какие системные компоненты это повлияет? Нужно будет еще какие то дебри исследовать для восстановления нормальной работы или все ок будет? У кого есть опыт? Или сразу лучше забить на федору и терпеть агрессивную политику убунты по снапам в каждой щели?

Lileiny
() автор топика

Ты ищешь смысл там, где его нет. Просто выключи или удали firewalld и переведи selinux в permission, а будет мешать, выключи. Только, если назад потом будешь включать, то почитай как это делать :-)

papin-aziat ★★★★★
()
Ответ на: комментарий от Lileiny

Я сталкивался один раз, когда пришлось включить selinux назад. Без него на silverblue не работает toolbox.

papin-aziat ★★★★★
()

Это закономерный итог того что Федора тестовый платсдарм для RedHat Enterprise, посему все фичи как и там. Хз за фаерволд, но SELinux это мега крутая штука и с ней проще подружиться, даже большинство разрабов политик уже добавили «исключающие» контексты, чтобы разрешить чтото потенциально не безопасное вместо того чтобы отключать Selinux целиком

sparks ★★★★
()
Ответ на: комментарий от Zhbert

Как говорится «плохому линуксоиду, selinux мешает»

Если объективно Selinux прям вот очень хорош, он прост, гибок и очень легковесный, а за счет уже предложенных политик создаёт очень мощный доп слой защиты.

В 95% случаев любые проблемы с Selinux лечатся установкой selinux-policy-doc-*.rpm и прочтением man service_selinux, в твоём примере openvpn_selinux

Вот ещё раскраска для детей о том как работает Selinux

https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf

sparks ★★★★
()
Последнее исправление: sparks (всего исправлений: 3)

Если не хочешь постоянно петрушиться, то только SELinux отключать.

В нормальной работе на десктопе никто не заинтересован.

Обеспечить безопасность он не сможет сам по себе. Можно вспомнить про пробивку в Firefox c PDF.js

fornlr ★★★★★
()

В итоге чтобы пользоваться РАБОЧЕЙ СТАНЦИЕЙ мне надо курить мануалы по СЕлинуксу и фаерволлд, что просто обеспечить работу приложений и простейшей защиты.

Чтобы пользоваться рабочей станцией курить ничего не нужно. А вот чтобы устанавливать и настраивать «несколько приложений» особенно если не из реп, а откуда-то со стороны, надо разбираться в том как именно они ставятся в систему.

Если не разбираешься сам - попроси помочь.

Скандалить на тему системы, которая не читает твои мысли в такой ситуации глупо.

В плане selinux ты скорее всего банально положил ключи и сертификаты не по тому пути.

Ну а про осиливание firewalld вообще смешно.

Или может быть есть более простой выход их положения?

Опиши конкретную проблему с которой сталкиваешься.

alpha ★★★★★
()
Последнее исправление: alpha (всего исправлений: 1)
Ответ на: комментарий от sparks

В 95% случаев любые проблемы с Selinux лечатся установкой

А удалением - все 100%.

LamerOk ★★★★★
()
Ответ на: комментарий от sparks

В 95% случаев любые проблемы с Selinux лечатся

…чтением сообщения об ошибке.

alpha ★★★★★
()

зачем нужны встроенные СЕлинукс и фаерволд на рабочей станции? В чем ценность?

поиграться на рабочей станции до того как взрослые дяди пустят играться с этим-же на сервере

практического смысла от дополнительной процессной/портовой безопасности на домашнем десктопе не много - от кражи кредитки в интернете или от случайного форматирования не того диска с лайв-сд они не уберегут, а прочие угрозы не так страшны :-)

rukez ★★★★
()
Ответ на: комментарий от rukez

практического смысла от дополнительной процессной/портовой безопасности на домашнем десктопе не много

Рабочая станция - это ноут.

Для ноута бонус firewalld в наличии профилей, которые можно менять в зависимости от ситуации. Грубо говоря если ты подключаешься к wifi сети дома у родителей, то ты расшариваешь dlna сервер и гейм-сервер, и тебе нужно открыть один набор портов, если в офисе - то принтер и дебажную виртуалку - другой, а если в аэропорту - то прикрыть всё.

У каждого подключения настраивается подходящий профиль. И осиливать там ничего не нужно.

alpha ★★★★★
()
Ответ на: комментарий от sparks

Не, я не спорю, просто впервые с ним столкнулся.

Zhbert ★★★★★
()
Ответ на: комментарий от alpha

о ты расшариваешь dlna сервер и гейм-сервер,
и дебажную виртуалку

Которые на ноуте запущены 24х7.

Как иначе-то? Вдруг я у родителей, а дебажная виртуалка на ноуте не запущена?

если в офисе - то принтер

Это какие порты мне нужно открыть на локальной машине, чтобы получить доступ к офисному МФУ?

LamerOk ★★★★★
()
Ответ на: комментарий от Artamudo

Firewalld и selinux v2 рано или поздно будут везде, а ныть что что-то сейчас не работает, или ты чего-то не знаешь просто странно.

Бугага!

Никто тебя не ограждает сделать так как тебе удобно.

…кроме него самого.

Oberstserj ★★
()

Можно отключить

piwww ★★★★
()
Ответ на: комментарий от Lileiny

Я к тому, что те, кто это годами или даже десятилетиями разрабатывает эти продукты, наверняка что-то придумали чтобы нивелировать проблемы с простейшими приложениями.

Нет.

Или это остается на горбу юзера?

Да.

Я ж вроде не дженту собираю.

Зря. Поэтому страдай.

Мне в дебри лезть нет времени и желания, я хочу поставить из официальных реп программу и запустить, чтобы она работала.

С такими желаниями в пору на винфак.

Но нельзя же ожидать от юзера дистрибутива, который…разбираться, почему встроенный софт не позволяет работать программам из официальных реп.

Почему нельзя? Можно. Правда вопрос зачем?

Но проблема то есть.

Лично у тебя.

Oberstserj ★★
()
Ответ на: комментарий от sparks

Это больше из серии, как хвалить замок 🔒 на туалет 🚽

И как там можно удобно менять комбинацию ключей, встраивание в проём двери 🚪 удобное и так далее…

В реальности это лишь уменьшит удобство использования, но не добавит безопасности.

fornlr ★★★★★
()
Ответ на: комментарий от LamerOk

Которые на ноуте запущены 24х7.

Которые могут быть запущены в любой момент.

Особенно учитывая что выходя из дома/с работы ты просто захлопываешь крышку ноута. Поэтому при подключении к вай-фай в кафешке на углу можно просто забыть, что у тебя настроено.

С современным количеством медиаприложений и сервисов, которые автоматически цепляются то к умным домам, то шарят контент с телевизорами и холодильниками это всё очень даже реальные ситуации.

alpha ★★★★★
()
Ответ на: комментарий от alpha

Особенно учитывая что выходя из дома/с работы ты просто захлопываешь крышку ноута.

С ноги. ( Прости, я это не учитывал. )

С современным количеством медиаприложений и сервисов,

И каково оно, это количество медаиприложений и сервисов, которые прослушивают локальные порты? 5? 10? 100? Нет, мне правда интересно - у меня-то нет ни одного, и я о них ничего не знаю.

LamerOk ★★★★★
()
Ответ на: комментарий от Lileiny

Если он к этому моменту будет работать на пользователя, а не против него, я за внедрение.

Если.

А в таком виде, в котором он сейчас, я лучше буду сидеть на фрибсд, чем вот в этом вот кошмаре.

Вот с этого и надо было начать.

Если я полностью вырублю СЕлинукс и фаерволлд, на какие системные компоненты это повлияет?

В общем и целом ни на что не повлияет.

Или сразу лучше забить на федору…

ДА!

…и терпеть агрессивную политику убунты по снапам в каждой щели?

А других вариантов нет как будто?

Oberstserj ★★
()
Ответ на: комментарий от sparks

Хз за фаерволд, но SELinux это мега крутая штука и с ней проще подружиться, даже большинство разрабов политик уже добавили «исключающие» контексты, чтобы разрешить чтото потенциально не безопасное вместо того чтобы отключать Selinux целиком

А правда прикольно вместо решения проблем с кривым софтом полагаться на другой не менее кривой софт?

Oberstserj ★★
()
Ответ на: комментарий от sparks

а за счет уже предложенных политик создаёт очень мощный доп слой защиты.

Не плоди сущности, говорили они…

Oberstserj ★★
()
Ответ на: комментарий от Artamudo

Firewalld и selinux v2 рано или поздно будут везде

Это ложь. Разбудите меня через 20 лет, и на Дебиан будет все те же apparmor и ufw.

anonymous
()
Ответ на: комментарий от LamerOk

у меня-то нет ни одного, и я о них ничего не знаю

Ну повезло тебе. Но стримить контент с ноута на телевизор уже давно стандарт. Как в общем и свободный обмен файлами между ноутами и компами в своей локальной вай-фай сети.

alpha ★★★★★
()
Ответ на: комментарий от alpha

стримить контент
обмен файлами между ноутами и компами

Имя, сестра, имя. Сколько портов открыто и какими службами у меня на ноуте должно быть для этого счастья?

LamerOk ★★★★★
()
Ответ на: комментарий от alpha

dlna, погугли.

DLNA (англ. Digital Living Network Alliance) — набор стандартов

Так а службы и порты на ноутбуке какие-то?

Ну и старая добрая samba

Подожжи. Старой доброй самбы не было в перечне рабочих виртуалок с гейм-сервером у родителей. Как она туда попала?

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

Так а службы и порты на ноутбуке какие-то?

Теперь погугли порты и службы.

Старой доброй самбы не было в перечне рабочих виртуалок с гейм-сервером у родителей. Как она туда попала?

Это такой троллинг или ты правда перечень от примера не отличаешь?

alpha ★★★★★
()
Ответ на: комментарий от alpha

Теперь погугли порты и службы.

Услуги Владивостокского морского торгового порта (ВМТП)

Меня смущают твои намёки.

Это такой троллинг или ты правда перечень от примера не отличаешь?

Это такой троллинг, или ты не отличаешь пример с переченем от примера без перечня?

Давай-ка я напомню суть:

если ты подключаешься к wifi сети дома у родителей, то ты расшариваешь dlna сервер и гейм-сервер, и тебе нужно открыть один набор портов, если в офисе - то принтер и дебажную виртуалку - другой

И я прошу тебя рассказать, какие же именно порты и сервисы ты расшариваешь на своём ноутбуке, который всегда с тобой.

Иными словами, я хочу увидеть перечень в качестве примера.

И как только я этого захотел, почему-то начала появляться samba. К чему бы это?

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

И как только я этого захотел, почему-то начала появляться samba. К чему бы это?

А почему она не должна появляться? У тебя какие-то проблемы с ней?

Я принимаю твою неспособность нагуглить порты для dlna, но про samba-то ты вроде должен знать.

Ты с каким конкретно утверждением споришь? С тем, что бывают use-case и бывают порты, которые можно и нужно открыть в некоторой внутренней сети, но нельзя открыть в публичной?

alpha ★★★★★
()
Ответ на: комментарий от alpha

Ты с каким конкретно утверждением споришь?

Подожжи, откуда взялось утверждение, что я спорю? Я пока что просто задал вопрос. Причём, фактически один - каков список портов и служб, которые будут по дефолту открыты для внешних подключений при открытой крыше ноутбука?

И я пока не могу добиться от тебя конкретного перечня процессов и портов, которые будут доступны потенциальному злодею для злодейского подключения в тот неловкий момент, когда ты нежно открываешь крышку своего любимого ноутбука в гостях у бабушки.

Я вижу многозначительные аббревиатуры, необычайно умный вид, классическое «иди погугли» и, почему-то, samba, но никакой конкретики.

LamerOk ★★★★★
()
Ответ на: комментарий от LamerOk

То есть по существу треда у тебя вопросов нет.

Как конкретика настройки dlna относится к обсуждаемому в треде вопросу о задачах и принципе работы firewalld мне непонятно, поэтому обсуждать это здесь не вижу смысла. Если хочешь поговорить об этом - заведи отдельную тему.

alpha ★★★★★
()
Ответ на: комментарий от alpha

Как конкретика настройки dlna относится к обсуждаемому в треде вопросу о задачах и принципе работы firewalld мне непонятно,

Ничего удивительного. Ведь никто, кроме, похоже, тебя, не обсуждает конкретику работы dlna к firewalld в этом треде. Я внимательно прочитал тред, и вижу, что ты одна обсуждаешь это сама с собой. Очевидно, ты единственный эксперт по этому вопросу в этом ITT треде.

Если хочешь поговорить об этом - заведи отдельную тему.

Но я не хочу поговорить об этом. Я хочу поговорить об запущенных процессах и открытых портах на обычном линусовом десктопе. Я сгораю от любопытства узнать, какие именно гейм- и DLNA-сервера я не запустил у себя, и что мне необходимо сделать, чтобы неосторожно открытая крышка ноутбука представляла такую угрозу, для защиты о которой требовался бы специальный фаерволл.

Кроме запуска ssh-демона с рутовым доступом без пароля мне пока ничего не приходит в голову. Вот у тебя - совсем другое дело. И вируталки рабочие, и гейм-сервера, и какие-то DLNA-сервера под линуксом.

Помоги, а? Накидай конкретных серверов, прослушивающих внешние порты по дефолту, для защиты который нужен фаерволл.

В идеале, вот чтоб прям yum install или apt-get и тут же прям дырка, а мы её фаерволлом!

LamerOk ★★★★★
()
Ответ на: комментарий от Oberstserj

Тут немного другой принцип, политики Selinux не дают приложению доступ к тому, что ему не нужно, простой пример это Апач, если тру хацкер смог найти багу в скрипте и залить какойнить php шелл, то с Selinux он смачно лососнет тунца и тд, т.е. он не даёт приложению делать то что оно и не должно делать

sparks ★★★★
()
Ответ на: комментарий от fornlr

Ну вот пример с моего десктопа

/var/log/audit/audit.log.3:type=AVC msg=audit(1590208131.829:271): avc:  denied  { read } for  pid=3782 comm="rpm" name="Packages" dev="dm-2" ino=67445445 scontext=system_u:system_r:setroubleshootd_t:s0 tcontext=unconfined_u:object_r:var_lib_t:s0 tclass=file permissive=0
/var/log/audit/audit.log.3:type=AVC msg=audit(1590208131.829:272): avc:  denied  { read } for  pid=3782 comm="rpm" name="Packages" dev="dm-2" ino=67445445 scontext=system_u:system_r:setroubleshootd_t:s0 tcontext=unconfined_u:object_r:var_lib_t:s0 tclass=file permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1584546827.109:328): avc:  denied  { name_bind } for  pid=5056 comm="rpcbind" src=61323 scontext=system_u:system_r:rpcbind_t:s0 tcontext=system_u:object_r:unreserved_port_t:s0 tclass=udp_socket permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1584546827.109:329): avc:  denied  { name_bind } for  pid=5056 comm="rpcbind" src=62841 scontext=system_u:system_r:rpcbind_t:s0 tcontext=system_u:object_r:unreserved_port_t:s0 tclass=udp_socket permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1584633769.146:182): avc:  denied  { create } for  pid=2014 comm="lnusertemp" name=".kde" scontext=system_u:system_r:xdm_t:s0-s0:c0.c1023 tcontext=system_u:object_r:admin_home_t:s0 tclass=dir permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1584630874.605:183): avc:  denied  { create } for  pid=1934 comm="lnusertemp" name=".kde" scontext=system_u:system_r:xdm_t:s0-s0:c0.c1023 tcontext=system_u:object_r:admin_home_t:s0 tclass=dir permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1585991101.868:284): avc:  denied  { execheap } for  pid=27809 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1586622466.955:288): avc:  denied  { execheap } for  pid=12933 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1586622610.518:298): avc:  denied  { execheap } for  pid=13820 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1586622794.406:303): avc:  denied  { execheap } for  pid=14339 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1586622924.897:308): avc:  denied  { execheap } for  pid=14691 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1586626648.906:337): avc:  denied  { execheap } for  pid=20868 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=0
/var/log/audit/audit.log.4:type=AVC msg=audit(1586626698.389:349): avc:  denied  { execheap } for  pid=21056 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=1
/var/log/audit/audit.log.4:type=AVC msg=audit(1586627033.283:359): avc:  denied  { execheap } for  pid=22403 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=1
/var/log/audit/audit.log.4:type=AVC msg=audit(1586627338.321:380): avc:  denied  { execheap } for  pid=23418 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=1
/var/log/audit/audit.log.4:type=AVC msg=audit(1586627764.564:391): avc:  denied  { execheap } for  pid=25288 comm="hl2_linux" scontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tcontext=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 tclass=process permissive=1

Вот наверно одно из самого интересного

avc: denied { execheap } for pid=25288 comm=«hl2_linux»*

sparks ★★★★
()
Последнее исправление: sparks (всего исправлений: 1)
Ответ на: комментарий от sparks

он прост, гибок

А есть какая-нибудь доступная обычному человеку книга про то, как написать свою политику для плохо документированной проприетарной службы?. Я вот, с ходу не понял, как это делать. Хотя для решения аналогичной задачи в apparmor достаточно было внимательно изучить уже существующие файлы конфигурации.

Khnazile ★★★★★
()
Ответ на: комментарий от Khnazile

Сложность тут заключается что по сути ты описываешь какие системные вызовы к каким «объектам» будут разрешены, это реально сложновато для понимания в лоб, я нормальных доков так и не нашел, самое информативное это книга официального редхат курса по Selinux, там как раз разбирается процесс написания политики для кастомной службы или подгонки существующих под твои нужды

sparks ★★★★
()

Потому что я уже пробовал все более-менее апстримные дистрибутивы

Быстро ты сдался, осталось где то 290, или сколько там на дистровотче? Может что приглянется.

chenbr0
()
Ответ на: комментарий от sparks

В итоге так и выходит, Selinux сложен для десктопа, и не очень-то нужен.

На ответственных серверах, может быть.

Хотя мне кажется, если бы это не шло по умолчанию, мало кто изъявлял бы желание его поставить.

Я тоже честно пытался настроить его на десктопе, потратил десяток часов по вышеупомянутому руководство. Надоело.

Пускай дальше печалится https://stopdisablingselinux.com/ Не говорю, что Selinux никому не нужен. Вот мне нравится позиция Debian, поддерживает, и если надо, можно поставить самостоятельно.

Shevan
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.