Зачем нужен selinux ?

Предпочитают отключать те, кто считает что он им не нужен, либо ленивые админы.

Давайте по-другому: может кто-нибудь описать реальный юзкейс?

Серьезно, очень интересно. Слышал, что на Западе пользуется технология популярностью. Хотклось бы понять, насколько оно надо и стоит ли с ним разбираться.

Оно не для домашних локалхостов

все его предпочитают отключать
все

Будь осторожнее с квантором общности.
[root@mx1 ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31

root@localhost ?

Ну на тебе ещё локалхост.
~ $ sudo sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: strict
Current mode: permissive
Mode from config file: permissive
Policy MLS status: disabled
Policy deny_unknown status: denied
Memory protection checking: requested (insecure)
Max kernel policy version: 31

cat /etc/hosts:

127.0.0.1   localhost mx1 mx2

?

Ну ты молодец, умеешь локалхост админить.

Чтобы его отключать )

Оно не для десктопа [2]

Слышал краем ухом это чем-то связаное с мандатным управлением доступом, хотя хз шо значит мандатное?) Слово мандат я слышал только на выборах, когда кто-то начитает баллотироваться в кандидаты президента или депутата постоянно слышится это слово мандат. А вообще на вики есть отдельная статья.

https://people.redhat.com/duffy/selinux/selinux-coloring-book_A4-Stapled.pdf

Зачем нужен

Чтобы когда ты кликнул на email с html payload, который запустит на твоём древнем дырявом встраиваемом webkit'е произвольный код, он смог от силы стырить твой пароль приложения для почты, который ты потом отзовёшь.

Потому что каждый раз когда его отключают где-то всхлипывает Ден Уолш .

Это означает «запрещено всё, что не разрешено».

Веб-браузер под системой управления доступом может и рад отправить твои биткоины и пак с котиками на китайский сервер, но так вышло, что читать и писать ему можно только в директорию с загрузками.
Даже пароль от рута, любезно предоставленный пользователем, в этом деле ему не поможет.

Если все его предпочитают отключать ?

Это потому что есть apparmor.

Если все его предпочитают отключать ?

вопрос этот задается регулярно в т.ч. на англоязычных бордах. ответ примерно такой: он нужен для сертификации для поставки в федеральных учреждения США, также как альту иногда нужна сертификация от ФСБ.

мало людей, которые selinux используют. еще меньше людей, которые способны не просто оставить его включенным по дефолту, а объяснить, какие реальные задачи они решают, рассказать про потенциальный вектор атаки и прочее-прочее. в банках, может быть.

Зачем нужен линукс если все предпочитают виндовс

Веб-браузер под системой управления доступом может и рад отправить твои биткоины и пак с котиками на китайский сервер, но так вышло, что читать и писать ему можно только в директорию с загрузками.

[пример того, о чем я пишу выше] да твой браузер и так имеет кучу полномочий с доступом к dev, просто чтобы работать. а для твоего случая selinux не нужен, достаточно простого chroot.

еще меньше людей, которые способны не просто оставить его включенным по дефолту, а объяснить, какие реальные задачи они решают

Так ведь многие и не замечают, что он включен, пока не начинают ствить-компилять софт, которого нет в репозиториях. У всего софта в репозитории политики в комплекте идут. Так что «оставить включенным» — не достижение.

я об этом Зачем нужен selinux ? (комментарий)

я бы вообще перефразировал вопрос ТС и спросил бы в треде: кто может привести пример, когда [у него] была зафиксирована атаки и selinux не позволил развить вектор. вот это вполне осмысленный вопрос.

с доступом к dev, просто чтобы работать

И что ты сделаешь с доступом к звуковухе и drm? Камеру поюзать можно, но это явно лучше, чем полный доступ к хомяку пользователя.

а для твоего случая selinux не нужен, достаточно простого chroot.

chroot не особо-то надёжная штука. Лучше какой-нибудь bubblewrap или вообще flatpak, который использует selinux.

Но то, что можно сделать альтернативное решение не отменяет одного из юзкейсов selinux.

Антипрививочники примерно так и мыслят.

а сторонники прививок часто забывают о побочных эффектах)

А есть еще коллективный иммунитет – если почти у всех будет selinux, то атаки не будут в лоб делать, так что меньшинству без seliux ни чего не грозит.

еще одно глупое высказывание. у меня вопрос, ты сам видел хоть раз атаку и selinux? вообще взлом сервера видел?

Мне не нужен, я apparmor юзаю, т.к. у меня Ubuntu. Нужен для ограничения некоторых в первую очередь проприетарных приложений. Раньше скайп, вроде, оборачивал в такую штуку, чтобы он не лазил в директории браузеров и не читал историю.

это по-моему даже я много раз писал тут об этом) что мол шарится, блокируйте)

как будто их много людей видит

Сейчас не знаю, шарится или нет, я уже 2 года скайп только в винде видел.

Там ладно, тебя все мягко послали и не стали ни разжевывать, и не дали развернутых пруфов. А тут то?

Ну представь, что 99% linux-систем обмазаны selinux по самое не могу. Даже тупо сбрутив пароль дальше в скрипте будет уже учтено, что тут эта зараза и дальше оно полезет исходя из этого соображения. Согласен?

Вот так и работает коллективный иммунитет. Он и сейчас так работает на десктопах, например, яркий пример: 99,9% «зловредов» рассчитаны на то что у пользователя windows, потому можно практически спокойно сидеть на linux-desktop без антивирусов (но вон Зенитар ловил и под линукс, теперь с антивирусом), и без всяких selinux. Обычный десктоп «домохозяйки» – это Неуловимый Джо и ему ни чего не угрожает.

Даже тупо сбрутив пароль дальше в скрипте

какой пароль? в каком скрипте? поток сознания какой-то. никто не спорит, что десктопные вирусы делают под винду. проблема в том, что ты не понимаешь, как работают атаки на linux, какие они бывают и т.д. а я этим интересовался еще до того, как ты сел за компьютер (в 200х каком-то там занял место на CC в питере, если тебе это интересно). и мое имхо, что selinux практически ни от чего не защищает. для его эффективности требуется интеграция с тем, что он собсно защищает. это не только подгонка политки, но и модификация самого приложения.

Там ладно, тебя все мягко послали и не стали ни разжевывать, и не дали развернутых пруфов.

нет, дорого, это я тебя вытащил из бана в том треде потому что надеялся на пруфы и факты, а теперь отправлю назад, чтобы глупости не читать:)

Какой пароль? На ссш. Кто сбрутит? Скрипт. Зачем? Спам рассылать, биткойны майнить, зашифровать все нафик и просить биткойны для выкупа. А целевые атаки – это другое, и штатные политики тут конечно не защитят, согласен полностью.

а теперь отправлю назад, чтобы глупости не читать:)

Фы, мне то как раз все равно, это ты мне постоянно указываешь что игноришь меня.

ну потому что его угробили, поэтому ты его и не видел. я тоже его году в 14 последний раз запускал, а теперь веб версией пользуюсь.) опять же в отдельной сессии, чтобы оно CEO-задачи не могло выполнять) вебверсия - это черный юмор такой... 3 стиля смайликов на одной странице... сообщения случайным образом приходить или не приходят в два разных окна и т.д. ну в общем пользуемся:)

У тебя же mandala в игноре?

в треде по редхату мало активности было и туда обычно флудеры не ходят (тема не та). ну я и вытащил, в конце концов форумчане же учатся потихоньку.

а для твоего случая selinux не нужен, достаточно простого chroot.

Для меня проще apparmor, т.к. он легче конфигурируется для персонального использования и заворачиваемый софт не требует явного вызова через chroot.

кто может привести пример, когда [у него] была зафиксирована атаки и selinux не позволил развить вектор. вот это вполне осмысленный вопрос

Какая-то официальная приблуда от AWS (точно не помню, но то ли awsebcli) в разрабатываемом проекте попробовала прочитать мой личный git репозиторий.

Умом то оно понятно, что просто шло и увидело по дороге, но всё равно мило.

да, я тоже его вместе со скайпом использовал. действительно, он проще, чем selinux и в этом его достоинство. в смысле, что безопасность и удобство всегда конфликтуют.

На локалхосте всегда делаю apt purge -y apparmor, но на серверах оно скорее нужно чем нет.

Пфф, это первое, что я удаляю наряду со snapd и firebird.

И ставишь selinux?

Нет. У меня никакого мусора (кроме слака на рабочем компе) не установлено, а угнать можно разве что переписку из гаджима. Зачем париться?

никакого мусора

ну да, ну да.

Для сертификации нужен. В организациях, где есть специально обученная оплачиваемая должность security officer (не админ и не разработчик). Им не лень и политики написать, и софт под них модифицировать.
Зачем остальным? Такие организации поштучно пересчитать можно, поэтому эффекта качества и проработанности от числа юзеров не добиться (спецрешения всегда выливаются в формальное УГ). Поэтому шляпа и тестирует его на всех остальных.

Когда-то давно я участвовал в сборке спецдистрибутива для запуска одной большой и страшной утилиты. И там были жёсткие требования к безопасности. Помимо того, что мы использовали дефолтные политики selinux, мы ещё писали политики для этой самой утилиты. Так вот в процессе, когда всё было готово, и политики включили, утилита стала падать. После анализа логов selinux выяснилось, что она при старте пытается прочитать /etc/passwd, куда разумеется доступов в политиках не выдавалось. Пнули авторов утилиты, проанализировали код и выяснили, что там какими-то хитрыми костылями оно пыталось выяснять UID и GID пользователя, из-под которого запущено. Переписали код по-человечески и всё заработало.

Это, конечно, не совсем такой пример, как ты просил, но пример того, как потенциальную дыру в безопасности закрыли.

спасибо, имхо этот пример совершенно не связан с закрытием потенциальной дыры (обращение к /etc/passwd является абсолютно нормальным и легитимным в повседневной работе), зато явно подтверждает мои слова, что эффективное использование selinux предполагает адаптацию приложения.

Не совсем верный вывод. Конкретно в данном случае с помощью selinux мы выявили, что утилита лезет к файлу, к которому она по спецификации не должна была лезть. Не важно какой это файл. Например, если у тебя выключен selinux, ты не узнаешь, что твой браузер или мессенджер уже давно прочитал и отправил содержимое твоего ~/.ssh/ и ~/.bash_history каким-нибудь китайским хакерам и они уже давно положили на твой сервак спамбота. С selinux этого не случится, а у тебя в логах появится сообщение о неразрешённом поведении программы.

Вот пример как можно немного улучшить немного не совершенную казахстанскую систему документооборота.

https://gist.github.com/Nurmukhamed/b4b5261e6c03d137ce6f7f1c641074a4