Major Hayden se rozhodl apelovat na uživatele Fedory (a dalších systémů), aby nevypínali SELinux při prvním náznaku problémů. Vychází z toho, že řada uživatelů se ani nesnaží zjistit, co by mohlo být příčinou bloku, ale rovnou SELinux vypnou, hned když systém nainstalují, nebo jakmile narazí na potíže. Vystavil za tím účelem velmi sporý web stopdisablingselinux.com, kam umístil odkazy na instruktážní video o SELinuxu a osobní stránky Dana Walshe, který na SELinuxu pracuje v rámci Fedory/Red Hatu.
Bude to však asi mít těžké, když i nástroje jako například easyLife uživatelům nabízejí možnost SELinux vypnout (s komentářem, že se tak jako tak nic nestane).
Další informace o SELinuxu najdete například zde:
- kapitola SELinux v příručce na fedora.cz
- SFTP, chroot, OpenSSH a SELinux – jak na to
- Fedora SELinux Project Pages
- SELinux Project Wiki
- Getting Started with SELinux
17. 4. 2013 at 20:05
Kdo nekdy zkusil selinux nevypinat a prizpusobit ho sve potrebe pochopi, ze to je proste nerealny pozadavek.
1. ani vychozi pravidla ve Fedore nejsou spravne ani pro baliky ze repozitaru, takze se klidne stane, ze nainstalujete aplikaci a ona nefunguje kuli selinuxu
2. provest jakekoli nestandardni kroky, jako napr. prenos souboru z jednoho demona do druheho je harakiri
3. bezhlave vytvareni novych pravidel je na zaklade AVC je nesmysl, protoze pokud nerozumite co se tim povoli, muzete ho rovnou vypnout
4. pokud neco docasne zmenite, pak vam to restorecond vrati „nekdy“ zpatky a pak se zase divite, proc to najednou nefunguje
5. terminologie je naprosto krypticka, stejne jako kontexty atd.
Na desktop, kde potrebujete vyvijet a experimentovat se to proste nehodi, na serveru sem stejne skoncil tak, ze nektere aplikace mam v permissive modu, protoze sem to ani nekolikadennim usilim neodstal do stavu aby to se selinuxem fungovalo.
D. Walsh sice opravuje hbite ruzne chyby atd, ale prijde mi, ze to je asi jediny clovek na planete, ktery tomu rozumi (mozna).
18. 4. 2013 at 11:21
Selinux je fajn.
ad 1) stane se
ad 2) někdy ano
ad 3) ano
ad 4) není chyba selinuxu
ad 5) původní názvy proměnných nebývaly příliš přesné, ale terminologie kryptická není
přidám
6) nedostatečné informace k novým bool. proměnným v nových verzích Fedory
Přesto tvrdím, že se selinux zvládnout dá a funguje, jak na servrech, tak tím spíš na desktopech. Často naopak právě selinux upozorní admina na to, že něco dělá nestandardně nebo blbě. Jak nesnáším samoúčelné změny, kterými je Fedora proslulá, tak na selinux nedám dopustit.
18. 4. 2013 at 13:33
Myslím si že distribúcia Fedora by mala byť otvorenejšia k uživateľom, komplikácie s nastavovaním a spravovaním systému dokonale odradia nielen nováčikov, prechádzajúcich z platformy Windows na Linux. Osobne som za, aby sa všetky ´´zbytočné´´ aplikácie úplne odstránili z prostredia. Občas mi totižto chýbajú časy, kedy mal Linux iba to, čo bolo skutočne podstatné.
19. 4. 2013 at 10:26
Kdo rozhodne, co je „zbytočné“ a co je „podstatné“?
Pamatuju časy, kdy na SUNech a IRISech byly účty jako lpt bez hesla a se shellem a kdokoliv odkudkoliv se přes ně mohl dostat do systému pomocí telnetu. Myslím, že něco podobného bylo možné i na prvních linuxech. To byly časy! V dnešním hostilním prostředí děkujte NSA za selinux!
19. 4. 2013 at 20:08
Selinux mam trvale zapnuty a souhlasim ze by se vypinat nemel. Je to skvela bezpecnostni zalezitost. Je ale pravda, ze je dost user unfriendly. A dokumentace take bohuzel nic moc. Dobre je ze existuji utilitky jako audit2allow ktere resi dost problemu i kdyz jak se zminuje D. Walsh neni to zrovna nejlepsi reseni, ale lepsi nez selinux vypnout. Zde
19. 4. 2013 at 20:09
http://danwalsh.livejournal.com/63137.html
20. 4. 2013 at 01:54
Mam podobnu skusenost. V sucasnosti si uz ani neviem predstavit, ze by som mal SELinux vypnuty.