selinux

Alexandros Kosiaris alex at noc.ntua.gr
Tue Aug 29 09:58:23 EEST 2006


Panos Prokopiou wrote:
> On Monday 28 August 2006 20:46, Antonios Anastasiadis wrote:
>> γειά στη λίστα.
>> Θα ήθελα εντυπώσεις από χρήστες του selinux.
> 
> pleon pistevo oti den einai kathoristikos paragontas sthn epilogh distro.
> afth th stigmh trexo suse, opou h (theth) mama novell lansarei to apparmor.
> To mandriva paizei me grsec...
>
Εξαρτάται. Εάν το θες είναι σχεδόν μονόδρομος το fedora(εάν δεν θες να
περάσεις πολλές πολλές ώρες configurarontas).

> genika to topoio oso anafora to thema einai akoma poli poli tholo.
>
>> Ακούγεται γενικά οτι είναι μανικι στο στήσιμο, policies κλπ
> 
> prosopika den pedeftika katholou. epeze out of the box. Pantos to na grapseis 
> policy den einai efkolo, giati kaneis den mporei na sou eggiithei oti to 
> ekastote policy den afinei kapoio keno.

Ναι επειδή έχεις το apparmor το οποίο σχεδιάστηκε να είναι πολύ
περισσότερο user-friendly και γιατί έχει κάνει μεγάλο μέρος της δουλειάς
για εσένα η εταιρεία.

Πάντως γίνονται σοβαρά βήματα να διευκολυνθεί η κατάσταση στο SELinux(
targeted modes,default policies κτλ κτλ). Είναι σίγουρα αυτή την στιγμή
αρκετά πιο εύκολο από ότι 12 μήνες πριν. Αλλά οτι τραβάς τα μαλλιά σου
εάν πηγαίνεις from scratch είναι ακόμη αλήθεια. Επίσης έχει πολύ
διάβασμα εάν θες όντως να το καταλάβεις και να το χρησιμοποιείς σωστά.
Πάντως το fedora έχει κάνει τεράστια βήματα προς την διευκόλυνση των
χρηστών.

> 
> Uparxei ena performance overhead.
> 
Ναι στην θεωρία αλλά γενικώς όχι κάτι άξιο λόγου. Το administration
overhead είναι δεκάδες φορές αξιότερο λόγου.

>> Υπάρχει κανείς εδώ που να το δουλεύει σε production μηχάνημα;
>
> oso production mporei na einai to laptop
>
Οχι ακόμη. Μόνο σε 2 test machines.

>> Τί διανομή;
> 
> h monh dianomh pou to foraei einai fedora, eidika to fc5 exei diafores 
> beltioseis sth domh ton policies se sxesh me ta fc3,4 kai rhel4.
> 
custom made slackware 10.2(όπου μετά από πολλά compiles κτλ κτλ τα
κατάφερα αλλά δεν μπορώ να πω πως θα το συνιστούσα σε κάποιον. Μου πήρε
κοντά 1 μήνα να έχω έτοιμο το μηχάνημα)

debian testing (εδώ πάνε καλύτερα τα πράγματα.Ετοιμα σχεδόν τα
πάντα,μόνο τα policies θέλουν ψάξιμο.Αρκετό όμως ε;)

>> Με grsec kernels παίζει καλά;
Τσου. Το grsec έχει άλλη λογική και APIs και το να τα μπλέξεις θα ήταν
φοβάμαι αυτοκτονία.

> 
> apo oso ksero isos kai na pezei me sugkekrimena patches mono, dld kapoia apo 
> ta random pid, random port ktl... oxi oti kanei thn idia douleia me to 
> selinux. Kai an den kano lathos oi grsec-ades den upostirizoun to lsm 
> interface opote trexa gireve...
> 
> 
> Prosopika pistevo oti to olo thema einai poli poli travigmeno. Xronia tora 
> exoume asfalestata mixanimata kai xoris MAC ktl. Uparxoun polla epipeda 
> asfaleias prin ftasoume sto selinux kai me ta misa kanoume th douleia mas.
> To SELinux eidika pistevo oti mporei na kanei papades, alla thelei kai megala 
> @@ gia na to stiseis. Giati mh mou peis oti tha afiseis ta default policies. 
> Milame gia security. Epipleon to selinux einai sigoura gia prostasia 
> multiuser mhxanimaton, gia single user mixanimata einai travigmeno.
>
Οπως έλεγε και ένα ebook που διάβαζα πέρσι αρκεί μία τρύπα σε μία phpbb
και ένα 0day bug στον kernel και ο άλλος έχει root στο μηχάνημα(ναι
υπάρχουν php secure modes,chroot για τον apache ktl ktl αλλά δεν βλέπω
και πολύ κόσμο να τα κάνει). Το SELinux σε προστατεύει από αυτά με
άνεση. Το υπέροχο με το SELinux είναι ότι μπορείς να ρίξεις ένα apache
με 45 σκατο virtual hosts σε ένα μηχανάκι και εάν τα policies σου είναι
σωστά να χακεύουν τα virtual hosts και μετά να μην μπορούν να
δημιουργήσουν κανένα απολύτως πρόβλημα. Είτε σε εσένα είτε σε άλλους
μέσω δικτύου.
> --pprok
> 
> 


-- 
Alexandros Kosiaris 	Network Management Center , NTUA
e-mail : alex at noc.ntua.gr
Public Key Fingerprint :
D6B1 0634 BE65 719C 6C95  7492 8201 4B46 C478 F074
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 5152 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20060829/188ea1af/attachment.bin>


More information about the Linux-greek-users mailing list