Vlákno názorů k článku Proč byste měli chtít SELinux? od abyssal - Ako je to s predpripravenymi politikami pre rozlicne...

Ako je to s predpripravenymi politikami pre rozlicne programy pod SELinux? Totiz SELinux aj grsecurity su fajn veci, ale bez predpripravenych pravidiel je to mierne nepouzitelne (schvalne si skuste vytvorit politiku napr. pre apache, zabere to tak den). AFAIK hlavne RedHat robi a udrziava dost politik pre mnohe programy, ale dal by sa niekde najst zoznam programov, pre ktore su politiky hotove?

grsecurity ma na vytvaranie politik dobru featuru - "learning mode", kde sa pusti program a on na zaklade nejakych heuristik napise politiku (podla toho k akym suborom proces pristupuje apod., typicky vytvorena politika dovoli vsetko, co program robi), ale aj tak to musi typicky clovek opravit rucne (a su fakt dlhe...). Napr. dovolit pristup nielen na /tmp/ABCDpodivnemeno suboru, ale aj /tmp/ABCD*.

grsec som nikdy velmi neriesil, selinux mi prisiel sympatickejsi.
Mal som moznost hrat sa so selinuxom na gentoo a to ti poviem, ze nastavovanie selinuxu zabralo velmi, velmi vela casu. Co sa tyka RH, tak sa o to stara asi velmi dobre, pretoze vela komercnych firiem pouziva na pocitacoch rhel, takze myslim, ze s tym problem nebude. Treba pozriet na nejake rpm balicky na mirroroch red hatu.

Zdravim,
myslim, ze to je prave ta nejvetsi osina v pate - upstream malokdy resi nejaky SELinux. Co se tyce distribuci RH, tam mam docela dobrou zkusenost, RHEL je celkem vyladeny (pouzivam na serverech CentOS a zatim jsem resil jen 3rd party aplikace, je ale pravda ze mi to zabralo cely den), na Fedore obcas nejake problemy jsou, ale Dan Walsh na bugreporty odpodvida jednim komentarem a to "Fixed in policy $version-$release" :-)

Na serverech ktere jsou pripojene primo k Internetu si ale myslim ze se to vyplati..potencialni skody muzou byt casto drazsi nez cena jednoho dne prace..

Jasne, na kritickych serveroch sa to urcite oplati.

Najlepsie by bolo, keby politiky pisali priamo autori softu (najlepsie sa v nom vyznaju), ale to sa zatial nedeje a asi ani tak skoro nebude. Mozno by nebolo zle pisat to pre nejaky "spolocny model" RBAC, tj. ze by z toho sli odvodit politiky pre SELinux, grsecurity a ine RBAC systemy (nepamatam si, jak moc sa lisia, asi by slo "prekladat" SELinux politiky na grsec politiky). Keby to slo aj opacnym smerom, tak grsec learning mode je fakt dobry nastroj, s ktorym sa cas na napisanie politiky tak o polovicu skrati (AFAIK SELinux nema learning mode).

Prave, na Fedore me problemy donutily to hned vypnout (nesel dnsmasq a tak). AppArmor mi na SuSE zatim problemy nezpusobil, i kdyz mozna neni tak ucinny, moc se v tom nevyznam.

Stav je spatny. Ani ty predpripravene politiky od Redhatu pro bezne programy typu apache,bind,samba,openldap a dalsi nejsou to prave orechove. Docela casto narazim na chyby. Redhat se snazi sec muze. Aktualizuje celkem casto. Chyba je podle me v selinuxu. Viz muj prispevek s vulgarnimi vyrazy.