Я ждал этого надцать лет и вот он случилось.

Что? В остальных дистрибутивах оно 100 лет. А ванильность не оправдание арча уже лет 10 — он просто говно.

Патчи для управления сетевыми правилами, с которыми собирают ядро в убунте и сусе, включили? А то если нет, не считается

Он сто лет как в ванильном ядре, но там не всё. Хотя и в таком виде очень неплохо, внятных альтернатив без страданий нету.

Чем оно лучше selinux?

Кстати, как не плясал с бубном, не удалось завести селинукс в debian testing. У кого-то получилось ?

тем, что не selinux.

debian testing вроде помер, устанавливаю через нет-исталятор базовую часть, сама система работает, но при попытке что либо доустановить через apt - ругается на dpkg, пошел на хитрость и установил базовую часть от stretch - проверил apt все работает, изменил репу на sid и выполнил # update\upgrade, после чего apt опять сломался и стал ругаться на dpkg

В дебиане не пробовал, не знаю.

Ни разу такого не было. Ставил из ежедневной сборки или из ежемесячной ?

из ежедневной - вчера и сегодня пробовал, потом недельный срез пробовал - такая же байда, да какая собственно разница это же самое в unstable репе прилетело поверх strech...

Вот прямо сейчас поставил из https://cdimage.debian.org/cdimage/weekly-builds/amd64/iso-cd/debian-testing-... и никаких глюков не вижу.

маловато профилей, рабочих ещё меньше

apt работает? попробуй что нибудь через него установить...

Поставил постгрес, пых,нгинкс - никаких проблем не возникло.

Слишком общий пример. Приведи конкретную команду, после которой apt в текущем testing ругается. Посмотри по .bash_history, если забыл.

Debian Stretch работает через одно место, а ты говоришь про тестовую версию, которая ещё хуже. Debian как был сборище костылей, так им и остаётся.

https://d.radikal.ru/d30/1810/66/e6965a22edf2.png сразу же после установки базовой части системы - первый пуск, попытка установить sudo

Stretch работает через одно место

нормально работает, но если прописать sid репу и выполнить # update\upgrade начинается треш, apt умирает и ругается на dpkg

Поставил на виртуалку только что с этого образа: http://cdimage.debian.org/cdimage/daily-builds/daily/current/amd64/iso-cd/deb...

Всё работает: https://imgur.com/g7O405F

В tasksel снял все звездочки, кроме «Стандартные системные утилиты».

Поставил с того же образа, сняв на сей раз все звездочки в tasksel, только минимум. Все равно, всё работает как надо: https://imgur.com/k0gZ1pq

Не можешь расписать полный путь воспроизведения ошибки?

Чтобы настроить SELinux нужно пять лет маны RH курить или на курсы записываться. AppArmor тоже говно, но хотя бы базовые функции с ним сделать можно.

это buster, а не sid, но все равно попробую

У тебя на скрине тоже buster, по крайней мере пакет пытается установиться именно этой версии.

епт - получается я по кругу одно и тоже пробую? прямо сейчас ставлю в виртуалку... а что у тебя в sources.list, какое имя дистра в репе - sid?

Что прописалось, то и есть, это свежая система с .iso по ссылке поставленная.

buster, конечно: https://imgur.com/BTygqCz

Неплохо бы готовые профили иметь. Что селинукса, что этого, почему только сильно протухшие лежат? Ручками конфигурировать это всё хорошо конечно, но безопасность приложений только понижается, если запрещать всё подряд.

нифига https://a.radikal.ru/a14/1810/5e/77f19797eb2c.png apt не работает, хоть buster в репе хоть sid - фуфло какое то, может с железом связано? но в вертуалке тоже не работает

Я даже не знаю... может ты диск рано вынимаешь? Обычно перед финальной перезагрузкой при установке он сам отмонтирует и извлекает диск — ты не торопишь события?

Что apparmor, что selinux — источники бесконечного геморроя.

3 часа ёбся, пытаясь выяснить, почему testsaslauthd работает, а через ldap не аутентифицирует. Оказывается потому, что Шатлврот решил, что slapd-у НИНУЖНО давать доступ к сокету saslauthd.

Правильно дока по k8s начинается с совета ВЫРУБИТЬ НАХЕР SELINUX.

ты не торопишь события?

нет не тороплю - перезагружаюсь с диском в дисководе, последний шанс - попробую на другой машине, но это абсурд...

перезагружаюсь с диском в дисководе

Стоп, там же команда на извлечение лотка ведется? Ты какую VM используешь?

Не знаю есть ли там патчи, но для меня и так считается. Лично я использую apparmor для изоляции firefox от важных локальных файлов.

Гораздо проще. С помощью aa-genprof можно просто смотреть, что программа делает и говорить можно ли ей это делать или нет. А затем запретить ей все кроме того, что разрешено.

Фишка apparmor не количество профилей, а простота их создания.

VM используешь

использую virtualbox в нем диск автоматом не извлекается и после перезагрузки опять в установочный диск попадаю, приходится вырубать виртуальную машину - извлекать диск и запускать ее заново, а на живом железе - тоже не извлекаю диска, а в биосе выставлено чтение с винчестера и после перезагрузки автоматом с него читает

Хм... действительно интересно. Я использую VirtualBox с репозитория Oracle, хост Debian 9 — и у меня диск извлекается сам под конец установки.

извлекается сам под конец установки

если ставлю stretch то да, а если sid - нет, считал что это косяки unstable

У меня автоизвлечение сработало на образе, ссылку на который я давал. С какого образа ты ставил? Я считал, что образы есть только для buster, а для sid их не существует.

ставил все и что ты давал и sid, чистый sid можно качнуть сдесь https://d-i.debian.org/daily-images/ в sources.list имя дистра будет sid... попробовал на другой машине - таже картина, короче меня в sid-e забанили!

Сулинакс тоже генерируется точно так же. Толку то. Это наверно нужно чтобы разрабы сами следили за поддержанием актуальных пресетов, или мейнтейнерам проводить развёрнутое тестирование на предмет изменений в каждой версии. Ну «проверенные» профили которые на 10 лет протухли и уже не работают это бред — зачем тогда вообще их поставлять?

Сулинакс тоже генерируется точно так же. Толку то.

В своё время сидел на федоре и искал аналоги aa-logprof и aa-genprof в selinux, найти не смог. А именно в этих двух утилитах и есть весь смысл.

Ну «проверенные» профили которые на 10 лет протухли и уже не работают это бред — зачем тогда вообще их поставлять?

Согласен, поэтому пользуюсь только профилями созданными в ручную под свои нужды.

для изоляции firefox от важных локальных файлов

Если он запущен на одних иксах, он сможет много наделать и без доступа к файлам, например, делать снимки экрана и перехватывать записывать нажатия клавиш

В сулинакс метки в xattr, в аппарморе политики на основе путей в ФС

Гораздо проще. С помощью aa-genprof можно просто смотреть, что программа делает и говорить можно ли ей это делать или нет. А затем запретить ей все кроме того, что разрешено.

Да в общем-то с selinux всё тоже самое:

• setenforce 0 - ничего не блокируем, только выводим сообщения.
• ausearch - смотрим, что программа делает. Ну или любым другим способом просматривает audit.
• audit2allow - если надо сгенерировать политику. Далее убираем лишнее/добавляем нужное.
• semodule - применяем изменения в политике. semanage - меняем контексты ресурсов.
• setenforce 1 - включаем блокировку активности.

Гуями к этому не интересовался, о наличии не знаю. aa-genprof позволяет избавиться от каких-то из этих шагов?

Чтобы настроить SELinux нужно пять лет маны RH курить или на курсы записываться.

А без этого кто настроить запрещает?

Сам-то настроил в enforcing, лол? То, что переусложнённая дичь, а в жизни есть куда более интересные вещи, чем трахаться с MAC.
P.S. Самым клёвым был GrSecurity RBAC, настраивался просто как палка.

Сам-то настроил в enforcing, лол?

Да, было бы там что настраивать. Selinux не отключаю (разве что в диагностических целях). УМВР.

Федорка, небось? targeted, если что, за настроенный SELinux не считается, ибо не контролирует всю систему, как должен MAC.

Федорка, небось?

Десктоп - федорка. Сервера - центось.

targeted, если что, за настроенный SELinux не считается, ибо не контролирует всю систему, как должен MAC.

Ну что там за что считать - дело твоё. Всё, что торчит наружу targeted контролирует.

а между тем, дебиановцы спокойно патчат и собирают ядро чем нужно, без ожидания 20 лет.