SELinux

[Michal Zawalich]

W liście z nie, 08-06-2003, godz. 12:37, Paweł Gołaszewski pisze: 
> On Sun, 8 Jun 2003, Mariusz Mazur wrote:
> > > Będąc w Katowicach rozmawiałem z eRJotem na temat wdrożenia SELinux'a
> > > do PLD by był domyślnie włączony. Wydaje mi się niezłym to pomysłem, w
> > > ramach zbliżającego się kernela 2.6 by to zastosować. Przykład
> > > działania jest dostępny online w sieci:
> > >
> > > ssh root w selinux.dev.gentoo.org
> > >
> > > hasło: gentoo
> > Poszedł z takimi pomysłami. Selinux to pewnie kolejna przeszkadzajka
> > powodująca, że root tak naprawdę nie jest rootem?
> > 
> > (i ciekawym jaki to ma wpływ na wydajność)
> 
> Ale w 2.5/2.6 to w niczym nie przeszkadza, że będziemy mieli by default 
> włączone takie zabawki, bo masz security schemes w modułach. Nie pasuje 
> selinux? Nie ładujesz - bierzesz normalne linux_priv. Masz ochotę na 
> lids-a? proszę bardzo.
> 
> To jest właśnie jeden z power-ów w 2.5, który mi się podoba jak cholera...
Lids i openwall są w modułach natomiast selinux nie. Ale z tego co wiem
dopóki selinux działa w trybie permitive kernel zachowuje się po
staremu. Natomiast security zaczyna się jeśli przełączy się w tryb
enforced specjalnym programikiem. W tej chwili właśnie pracuje na
kernelu z zaaplikowanym selinux i czystym nest (bez zadnych patchy
selinux) i jak na razie wszystko działa jak nalezy (tj. po staremu). Z
tego wszystkiego wyciągam wniosek że lęki mmazura są nieuzasadnione :)


> W 2.4 proszę mi jednak tego nie wprowadzać, bo brakuje modularyzacji. 
> Naprawdę wielu ludziom selinux nie będzie pasował (mi na desktopie też na 
> pewno nie będzie się podobał...)
Niestety racja.

Pozdrawiam.
Michał Zawalich