Первые шаги в selinux

а что за фильм?

Спокойной ночи, малыши ( Saturday morning misery, 2012 )

А зачем?

just for fun

забавно, все хочу тоже на ноуте поиграться :)

https://wiki.debian.org/SELinux/Setup

Потом всё что нужно делать, это

( cat /var/log/syslog; cat /var/log/audit/auditd.log ) | audit2allow -M local

В принципе эта команда даст уже готовый модуль local.pp, но иногда приходится править вручную, тогда правишь local.te ( который генерится audit2allow вместе с local.pp ) и собираешь его

make NAME=local -f /usr/share/doc/selinux-policy-dev/examples/Makefile

Затем

semodule -i local.pp

Пока правлю статью в локальной вики, через пару дней собираюсь перекинуть в вики ЛОРа.

Но это действительно первый этап, потом надо начать разбираться, что именно я автоматом разрешил через audit2allow

ага, спасибо!

Классчиеская уже ссылка: http://stopdisablingselinux.com/

Спасибо, посмотрю

Пародия на трешак? Да ладно :facepalm:

Мне понравилось. Спецеффекты мягко говоря дешёвые, на уровне 80-х, но по крайней мере режиссёр и оператор знают своё дело и умеют пугать. Было страшно не потому что КРОВЬ, КИШКИ Р@#$%^&*()О, а из-за атмосферы. Смотрел ночью, в туалет потом было идти ссыкотно.

Ну и девочку они нашли не скажу что красивую, но интересную. См. скриншот :)

audit2allow -M local

/me разрыдался кровавыми слезами

Это как я даже не знаю. Купить бронированную дверь и повесить амбарный замок. Джаст фор фан

Ты предпочитаешь отключить всё нафиг? Я ж написал - это только первый этап, просто загрузиться в enforcing mode и чтобы работало. Потом разумеется нужно будет проверить, какие правила пришлось добавить, чтобы факинговые gdm3, fglrx и pulseaudio соизволили начать работать.

Ты предпочитаешь отключить всё нафиг?

Из использования audit2allow и не использовать selinux я выбираю последнее.

Признайся честно, ты используешь selinux? :)

На лаптопе? Уже не использую. Этим можно развлекаться джаст фор гемморой. Прежде чем пользоваться, нужно запилить нормальный генератор политик. Это дерьмище на m4 под названием референс полиси должно помереть.

И чего тут особенного? В шляпе SELINUX=enforcing по дефолту уже 100500 лет.

Рад за шляпу, особенно если ты говоришь про десктоп

Из коробки он будет работать только на сервере

Потому что нужно использовать сенту или федору. Только если используется один юзер, то политику всё-равно нужно допиливать (в плане дополнительного запрещения, а не разрешения), чтобы не было театра безопасности (дефолтные политики слишком лояльные и слабо разделяют процессы внутри одно юзера).

работают gdm3, pulseaudio, fglrx

Не знаю как в плане проприетарных троянов (fglrx), но dgm3 и пульс и так нормально работают в федоре.

management module p5 520

И зачем Вам поверы?

Жёстко ограничены только демоны, работающие с сетью. А большая часть ПО относятся к домену unconfined_t и в пределах unconfined доменов может делать почти всё.

ВНЕЗАПНО!??? В федоре для большинства X11-процессов юзера также.

Не так страшен MAC и RBAC, как те кто действительно умеют этот треш настраивать :)

Ну Вы ещё ничего не настроили. То, что Вы разрешили трем приложениям через audit2allow (или скопипастили с федоры кусок политики) доступ к своим файлам, ещё не делает Вас спецом по SELinux.

A dark and bloody parody about a Scooby-Doo-like team of paranormal investigators and their devoted dog.

Хэх, надо посмотреть

Правильный первый этап - это загрузиться в permissive mode и чтобы всё не работало. После чего начать читать audit.log выбирая из него по одной ошибке и разбираясь с ней.

Но вообще в Fedora SELinux в enforcing-режиме из коробки уже очень давно. Ругается он только на skype, wine и google-chrome, что в общем понятно и оптимальным образом решается неустановкой их в нормальную систему. Так что особого достижения в загрузке в enforcing тут никакого нет.

Потому что нужно использовать сенту или федору

Давайте Вы не будете указывать, что мне делать, а я не скажу, куда Вам пойти ;)

Ну Вы ещё ничего не настроили. То, что Вы разрешили трем приложениям через audit2allow (или скопипастили с федоры кусок политики) доступ к своим файлам, ещё не делает Вас спецом по SELinux.

А почему вы решили, что в

Не так страшен MAC и RBAC, как те кто действительно умеют этот треш настраивать :)

я говорил о себе?

Так что особого достижения в загрузке в enforcing тут никакого нет.

Если есть доки, по которым можно повторить это в debian - тогда нет.

Ну я не про Debian же. А вообще, о том что SELinux на десктопах - это работает.

А я захотел selinux на своём десктопе, и на мой взгляд это не причина для смены дистрибутива. Сходу включить enforcing mode не получилось ( gdm3 не доходил до отображения окна логина, чёрный экран с мышкой ), поэтому пару дней читал доки и гуглил.

Да, разумеется это лишь первый этап. Да, мне необходимо будет проверять правила, который я добавил через audit2allow. Но для начала изучения selinux для меня это был серьёзный шаг, ИМХО.

И зачем Вам поверы?

На скриншоте - так же как и видеоплеер, показать что с включенным selinux вполне можно жить.

Вообще - для практики перед сдачей экзамена ibm

Вообще - для практики перед сдачей экзамена ibm

Зачем? Как плюс к своей ЗП планируете от этого получить?

А я захотел selinux на своём десктопе, и на мой взгляд это не причина для смены дистрибутива.

Разумеет. Но только если Вы харденед генту используете. А в случае казуальной бинарщины - даже встроенные в основные репы пакеты и их количество может иметь смысл, не то что поддержка референсной политики на уровне.

Но для начала изучения selinux для меня это был серьёзный шаг, ИМХО.

audit2allow я использовал ещё 4 года тому назад, ничего такого в этом не вижу.

Да ты упоротый!

Я и в самом деле раньше не работал с selinux.

alpha> SELinux на десктопах - это работает.

ktulhu666> дефолтные политики слишком лояльные

Вопрос о пользе этой работы уже кто-нибудь задавал? Если нет, то я первый.

Я и в самом деле раньше не работал с selinux.

Да я знаю. Это комплимент был.

Вопрос о пользе этой работы уже кто-нибудь задавал?

«Ругается на skype, wine и google-chrome», ещё помнится ловил add-on Яндекс.Фотки для firefox-а на попытке отправки не «своих» данных.

Я расцениваю это как полезные проявления. К примеру приватные ssh-ключи при установке левого аддона в FF никуда не утекут.

«Ругается на skype, wine и google-chrome», ещё помнится ловил add-on Яндекс.Фотки для firefox-а на попытке отправки не «своих» данных.

«Ругается» и «ловил» или «не дает работать» и «предотвратил доступ»?

Ругается в enforcing-режиме = предотвратил доступ, разумеется.

В случае skype и wine там был низкоуровневый запрет доступа к памяти. И, что интересно, и то, и другое при этом продолжает работу, ещё и лучше, поскольку skype ест памяти меньше.

В случае яндекс.фоток — не дал загрузить картинку на хостинг.

консоль к kvm домашнего сервера

Можно подробнее по железу?

Tyan S8226WGM3NR

Я думал, что IMPI и KVM — очень интеллоспецифичные фичи. Не встречался с AMD в серверном сегменте.

minicom подключен к management module p5 520

Но зачем?) Не проще взять нормальную HMC? Да и зачем вообще дома может повер понадобиться?

Дэн Уолш одобряет :)

Я думал, что IMPI и KVM — очень интеллоспецифичные фичи

Они специфичны для производителей серверов или системных плат для серверов, а процессор вообще роли не играет. ipmi реализован на отдельном чипе и работает даже когда процессоры обесточены.

Не проще взять нормальную HMC?

установлена в виртуалке

Да и зачем вообще дома может повер понадобиться?

Для практики. Эмуляторов под x86 нет.

ipmi реализован на отдельном чипе и работает даже когда процессоры обесточены.

Это я знаю, имел дело. Просто думал, что всё же всё завязано на intel-чипсет.

Не так страшен MAC

Просто для информации - есть AppArmor, процесс настройки которого в разы проще.

слоупок мод

Вопрос у меня возник, нужен ли так сильно будет селинукс если в upstart\openrc\systemd запихнут запуск сервисов в контейнерах cgroup\namespace ? Суть же та же получится - отдельные домены для приложений