История изменений
Исправление vvviperrr, (текущая версия) :
если эти документы будут стоить олимпиард нефти - поверь, сделают. вернее не так. контора наймет каких-нить инфосеков, те проведут аудит, в отчете укажут, что selinux обязателен и вася будет делать. в реальном же мире контора просто купит пак, в котором уже будет все настроено.
и опять же, к андроиду. ресурсы гугла позволили им продумать и написать тонны этих правил. и даже у них это было не за 1 присест. включили его изначально в jelly bean, в permissive режиме. в нем он только ругается на нарушение прав, но ничего не блокирует. и вылавливали проблемы несколько лет. заинфорсили его в 6.0. и с каждым новым релизом гайки все туже, домены все больше ограничены в своих действиях. результат - безопасность любого киктайфона на аоспе значительно выросла (не считая бекдоров от вендора, лол). кстати, надо сказать, с включенным selinux даже вендору будет проблематично поставить бекдор :) enforcing режим в user билдах андроида настолько обязателен, что его даже во время сборки выключить не просто, везде распихана куча проверок. ну и для юзера это флажок, если ты купил телефон с выключенным selinux - это кусок похаченного говна.
Исходная версия vvviperrr, :
если эти документы будут стоить олимпиард нефти - поверь, сделают. вернее не так. контора наймет каких-нить инфосеков, те проведут аудит, в отчете укажут, что selinux обязателен и вася будет делать.
и опять же, к андроиду. ресурсы гугла позволили им продумать и написать тонны этих правил. и даже у них это было не за 1 присест. включили его изначально в jelly bean, в permissive режиме. в нем он только ругается на нарушение прав, но ничего не блокирует. и вылавливали проблемы несколько лет. заинфорсили его в 6.0. и с каждым новым релизом гайки все туже, домены все больше ограничены в своих действиях. результат - безопасность любого киктайфона на аоспе значительно выросла (не считая бекдоров от вендора, лол). кстати, надо сказать, с включенным selinux даже вендору будет проблематично поставить бекдор :) enforcing режим в user билдах андроида настолько обязателен, что его даже во время сборки выключить не просто, везде распихана куча проверок. ну и для юзера это флажок, если ты купил телефон с выключенным selinux - это кусок похаченного говна.