SELinux, AppArmor и др. системы безопасности
Цитата с другой ветки, обсуждение перенесено сюда в отдельно созданную тему.
> Но безопасность в контексте браузера это фантастика, на сегодняшний день.
SELinux по идее должен защищать пользовательское пространство от уязвимостей в приложениях. Правда я пока не освоил эту технику. Может кто из знающих людей покажет пример? Предположим, нужно изолировать браузер Firefox
Вот пример создания политики для гуглохрома:
http://danwalsh.livejournal.com/32759.html
Или пример использования киоск-режима:
http://danwalsh.livejournal.com/11913.html
Но всё вменяемо работает только в Федоре (в нём ведётся официальна разработка), в других дистрах поддержка SELinux не очень хорошая (местами плачевная) и стабильно отлажена только в расчёте на запуск серверов. Многих утилит, фич просто может не быть. Особенно для юзер-приложений и иксов.
А вы уже пробовали как-то работать хотя-бы с готовыми политиками? Про всякие тонкости с "domain transition" внятно себе представляете?
По SELinux практически нет ни манов ни доков, только книжки, разрозненные описания в расчёте на опору поддержки дистростроителями готовых политик (что хорошо делается только в Федоре).
Это был непростой для меня квест, всё-таки уже 4 года прошло, но я с ним справился. Вот оригинал:
Но там речь шла немного о другом — об «анонимы vs известные разработчики». АНБ как раз известный разработчик, это не аноним в изначальном смысле этого слова. И если у анонимов репутация условно нулевая, то у АНБ она отрицательная.
комментариев: 301 документов: 8 редакций: 4
Torvalds shoots down call to yank 'backdoored' Intel RdRand in Linux crypto
Новость — нет, но сам RdRand — да [1], [2]. Высказаные ранее опасения точь-в-точь те же, что и по вашей ссылке.
комментариев: 9796 документов: 488 редакций: 5664
Если не бойкотировать Intel, то тогда уж можно было бы и вовсе сделать поддержку отдельным модулем, который все могли бы просто не загружать по желанию. Так, например, SELinux по умолчанию отключен в большинстве дистров.
комментариев: 11558 документов: 1036 редакций: 4118
Учитывая, что система носит экспериментальных характер, ирония не совсем оправдана.
Вероятно даже сам железо печатает в гараже.
аплодисменты зала!
комментариев: 301 документов: 8 редакций: 4
Недавно SElinux появился на Android 4.3 Пока тоже *отключен* в режиме Permissive.
http://lib.ru/LINUXGUIDE/torvalds_jast_for_fun.txt
По-моему, проще не бывает :)
комментариев: 9796 документов: 488 редакций: 5664
Подразумевается тэг [ирония]? Permissive mode — это значит, что фактически он включен, только работает вхолостую.
Степень анального огораживания у Sony такова, что лучше вам об этом не знать. Электронщики про неё рассказывают такое, что потом не уснёшь, поэтому ирония ни к чему.
тестерТьюринга, откуда у вас такие тексты?!
Язык неплох, в своей нише до сих пор используется, и до сих пор его изучают те, кому они нужен.
комментариев: 301 документов: 8 редакций: 4
Когда SElinux в режиме Enforcing мешает новичку что-то сделать, то после команды setenforce 0 они обычно пишут: "всё, я его вырубил".
Это не у меня. Это у либру.
Вопрос риторический? Тогда риторический же и ответ: ничему и никому не доверять, всё перепроверять.