Skocz do zawartości
Fedoras

Dla Kogo Jest Selinux?

Recommended Posts

sunrise    32

Proponuję trochę poczytać o sVirt i konkretnym przypadku przełamania hyperwizora xena:

http://danwalsh.livejournal.com/30565.html

Błędy zdarzają się wszędzie, w tym przypadku to nawet nie błąd, a błędna konfiguracja polityki.

PS. W Androidzie 4.3 będzie SELinuks, na razie w trybie permissive. http://www.anandtech.com/show/7172/whats-new-in-android-43

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Fedoras    7

Nareszcie okazało się, że @sunrise też miał rację (http://forum.fedora.pl/topic/26170-dla-kogo-jest-selinux/#entry162888)

 

Wszyscy mieli rację:

http://koji.fedoraproject.org/koji/buildinfo?buildID=432381 (Changelog)

W mojej F18, libsemanage-2.1.9-1 nie wymagało selinux-policy. Tę zależność wprowadzono w libsemanage-2.1.9-4, czyli w F-19 (libsemanage-2.1.10-4) nie można było usunąć selinux-policy. Zależność usunięto w libsemanage-2.1.10-6, czyli znowu można usunąć selinux-policy.

 

Ten problem został rozwiązany, ale zrodził kolejne pytanie. Czy Fedora ma do poczytania jakiś dokument "Polityki zależności"? Czyli, o co chodzi z dodawaniem i usuwaniem zależności? Czy jest jakiś cel nadrzędny, czy programiści dodają i usuwają zależności ad-hoc, jak im wyjdzie?

 

 

Fedoras,

myślę, że jak napiszesz co chcesz praktycznie osiągnnąć, to łatwiej bedzie znaleźć rozwiązanie.

Jak słusznie dyplomatycznie i politycznie zauważyłeś wcześniej, chcę pozbyć się z systemu pakietów, których nie używam, żeby nie wprowadzać niepotrzebnych problemów. Ostatnio zadałem pytanie jak wyłączyć tworzenie, po każdym restarcie, pliku /.autorelabel, ale póki co brak rozwiązania.

 

EDIT

Poprawa literówki

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
sunrise    32

Ostatnio zadałem pytanie jak wyłączyć tworzenie, po każdym restarcie, pliku /.autorelabel, ale póki co brak rozwiązania.

Możesz jeszcze spróbować

systemctl mask fedora-autorelabel-mark

systemctl mask fedora-autorelabel

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Fedoras    7

Dzięki @sunrise

 

Trochę czasu mi zajęło, ale w końcu to sprawdziłem. W katalogu /etc/systemd/system utworzył dla tych usług skróty do /dev/null. Inteligentne rozwiązanie, ale działa. Problem z tworzeniem /.autorelabel usunięty.

 

Swoją drogą może trzeba zgłosić to jako buga. Jeżeli te usługi systemowe nie mają połączenia z SELinuxem i nie wiedzą, że został odinstalowany, to przynajmniej powinny dać się wyłączać zwykłym disable tak jak inne.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
fredro    0

Hej, czy w Fedorze 26 jest możliwość wyłączenia SELinux, lub usunięcie jego pakietów? Ostatnio czytałem że NSA ma spory wkład w to "niby pozorne" zabezpieczenie Linuksa.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
SeeM    84
17 godzin temu, fredro napisał:

Hej, czy w Fedorze 26 jest możliwość wyłączenia SELinux, lub usunięcie jego pakietów? Ostatnio czytałem że NSA ma spory wkład w to "niby pozorne" zabezpieczenie Linuksa.

Oczywiście, w każdej wersji była w /etc/sysconfig/selinux. Wyłączenie go jednak nie spowoduje usunięcia wkładu NSA z kernela, więc nadal będzie w twoim systemie.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
Fedoras    7
Dnia 26.07.2017 o 14:39, fredro napisał:

Ostatnio czytałem że NSA ma spory wkład w to "niby pozorne" zabezpieczenie Linuksa.

Minęło kilka lat od rozpoczęcia tego wątku i w międzyczasie cały świat stanął na głowie. Moje wątpliwości z 2013 roku są dzisiaj śmieszne. NSA, ABW i inne trzyliterowe organizacje grzebiące w moim komputerze można traktować jako żart. Nasze komputery to dla nich śmiecie i szum informacyjny. Przez te lata wyrosła potężna grupa biznesowa dla której te "śmiecie" stanowią wielką wartość, która na tym zarabia.

Dopóki nie jesteś bandziorem ani dewiantem, możesz spokojnie włączyć Selinux i zacząć zastanawiać się jakie reguły napisać aby  odciąć fejsbuka, guglę i parę innych firm, które żerują na twoich zachowaniach, przyzwyczajeniach itd. Dzisiaj to tam jest prawdziwy problem, a Selinux może być tylko pomocny.

Tęsknię za czasami kiedy takie czy inne służby nieinwazyjnie i po cichu podglądały użytkowników. Teraz firmy biznesowe gromadzą big data zgodnie z prawem i na chama, smażąc wielkie mało zrozumialne dokumenty pt. "Polityka prywatności", z których jasno wynika, że dla "mojego dobra", "bezpieczeństwa" i "poufności" gromadzą wszystko co się da i handlują tym na wszystkie strony.

Podglądanie, gromadzenie i przetwarzanie tych informacji nie tylko zostało zalegalizowane, ale także klepnięto zarabianie na tym czyli nękanie użytkowników np. reklamami. Świat stanął na głowie, tak jak pisałem na wstępie, i tego trzeba się bać, a nie Selinuxa :)

Pozdrawiam

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
SeeM    84
2 godziny temu, Fedoras napisał:

Podglądanie, gromadzenie i przetwarzanie tych informacji nie tylko zostało zalegalizowane, ale także klepnięto zarabianie na tym czyli nękanie użytkowników np. reklamami. Świat stanął na głowie, tak jak pisałem na wstępie, i tego trzeba się bać, a nie Selinuxa :)

Selinux nie obroni akurat przed płaceniem kartą w sklepie, a potem oglądanie ma jutube reklam stosownego asortymentu tego samego wieczora. Szkoda.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
fredro    0

Wyłączyłem ten SELinux. A co do inwigilacji przez służby, to wiele razy się potwierdziło jakie to bandziory, nadużywający swoich kompetencji. Sprawdzasz ich sumienie i moralność Fedoras że taki jesteś im ufny.  http://www.geekweek.pl/aktualnosci/30925/cia-miala-dostep-do-kamer-mikrofonow-i-plikow-w-laptopach

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
SeeM    84
14 godzin temu, fredro napisał:

Wyłączyłem ten SELinux. A co do inwigilacji przez służby, to wiele razy się potwierdziło jakie to bandziory, nadużywający swoich kompetencji. Sprawdzasz ich sumienie i moralność Fedoras że taki jesteś im ufny.  http://www.geekweek.pl/aktualnosci/30925/cia-miala-dostep-do-kamer-mikrofonow-i-plikow-w-laptopach

Tutaj i w wielu innych, podobnych przypadkach wychodzi pewien paradoks działania służb specjalnych oraz ich utajnionych działań. Nie trzeba być agencją wywiadu, żeby zaglądać do kogoś przez kamerkę. CIA zachowuje się w tym wypadku tak samo, jak pobierający opłaty za nieudostępnianie nagrań poszczególnych ludzkich zachowań przed komputerem. Mają dostęp do bardzo dużej ilości luk bezpieczeństwa, dzięki którym robią sobie trojany i oprogramowanie szpiegujące. Nie wątpię, że iptables, apparmour, selinux, czy Windows Defender są im niestraszne. Problem polega na tym, że, ukrywając informacje o znalezionych lukach, zostawiają uchylone okienka (sarkazm zamierzony) wszystkim potencjalnie zainteresowanym, którzy wpadną na ten sam pomysł, lub zdobędą luki bezpośrednio od konkurencyjnej agencji.

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach
fredro    0

Ciekawy komentarz z niebezpiecznika. Wayland jest dużo bezpieczniejszy niż Xorg.

“BaldEagle – exploit eskalujący uprawnienia do roota poprzez demona Hardware Abstraction Layer (HAL) działający na Linux i PC-BSD.”

Na pewno nie aktualnego Linuxa, co najwyżej niektóre systemy BSD.

HAL z Linuxa wyleciał wieki temu, wyparły do całkowicie UDEV i UDISK.

Teraz exploity na Linuxa muszą wejść do systemu przez dziury w SystemD albo Xorga, ale Xorg też już idzie do betonowego sarkofagu, żaden kompozytor obrazu używający protokołu wayland już nie będzie pracował z uprawnieniami roota, tylko działał w przestrzeni użytkownika, podobnie jak dźwięk przez Alsę.
Dlatego ciężka kasa z NSA/Red_Hata idzie na to, żeby SystemD połknął całą przestrzeń roota, czyli PAM, Consolekit, Policykit, Udeva, Sysloga, DBUSa, INETD i Cgroup.
Przy okazji robi się taki gigantyczny kolos, że kod SystemD też się niedługo wymknie spod kontroli, i jeden Bóg będzie widział, co w tym kodzie siedzi, podobnie jak obecnie w Xorgu.

Dlatego jeśli w tych exploitach nie ma nic na SystemD, to znaczy, że ta baza exploitów ma co najmniej 5 lat.
 

Udostępnij tego posta


Odnośnik do posta
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Tylko zarejestrowani użytkownicy mogą dodawać komentarze

Dodaj konto

Załóż nowe konto. To bardzo proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz już konto? Zaloguj się tutaj.

Zaloguj się teraz

×