selinux

Raoul raoul at raoul.shacknet.nu
Tue Aug 29 14:45:18 EEST 2006 

On Mon, 2006-08-28 at 20:46 +0300, Antonios Anastasiadis wrote:
> γειά στη λίστα.
> Θα ήθελα εντυπώσεις από χρήστες του selinux.
> Ακούγεται γενικά οτι είναι μανικι στο στήσιμο, policies κλπ
> Υπάρχει κανείς εδώ που να το δουλεύει σε production μηχάνημα;
> Τί διανομή;
> Με grsec kernels παίζει καλά;

Σε γενικές γραμμές συμφωνώ με όσους απάντησαν ήδη, απλά προσθέτω την
δική μου εμπειρία.

Άρχισα να το χρησιμοποιώ σχετικά πρόσφατα σε ένα μικρό home server
μηχάνημα με fedora 5. Η διαφορά με το fedora 4 είναι ότι πλεόν η policy
είναι οργανωμένη σε modules, πράγμα που διευκολύνει πολύ το
configuration, καθώς δεν είναι απαραίτητο να αλλάζει κανείς όλη την
policy κάθε φορά.

Το μεγαλύτερο πρόβλημά μου στο μικρό αυτό χρονικό διάστημα είναι το
εξής: για τον apache πχ, προκειμένου να αποφύγω τα AVC denials σε
κανονική χρήση του server, δημιουργώ ένα custom policy module με το
audit2allow. Μέχρι εδώ καλώς. Είναι πολύ δύσκολο να επαληθεύσει κανείς
ποιες ακριβώς ενέργειες θα επιτρέπονται εαν φορτωθεί το συγκεκριμένο
module. Δεν υπάρχει (ή δεν βρήκα) documentation για τα διαφορα types,
roles κτλ, οπότε συνήθως επιστρατεύεται η λογική και η φαντασία και
φυσικά το googlisma για να καταλάβει κανείς τι ακριβώς θα επιτρέπει το
συγκεκριμένο module. Κατά τα άλλα το configuration, ως διαδικασία, δεν
θεωρώ ότι είναι δύσκολο σε μια διανομή όπως το fedora core.

Ρύθμιση μέσω του graphical utility δεν έχω προσπαθήσει ακόμα. θεωρώ ότι
η ρύθμιση μέσω αυτού είναι λίγο "στα τυφλά". Υπάρχουν και τα παρακάτω,
αλλά δεν τα έχω δοκιμάσει:
http://seedit.sourceforge.net/
http://fedoraproject.org/wiki/SELinux/setroubleshoot

Γενικά το selinux δίνει και στην πράξη την αίσθηση ότι είναι ακόμα στα
πρώτα του βήματα. Επίσης στο συγκεκριμένο μηχάνημα που το χρησιμοποιώ
έχω παρατηρήσει κάποια αργοπορία.

-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: This is a digitally signed message part
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20060829/c7880c4c/attachment.pgp>

More information about the Linux-greek-users mailing list