On Sun, Mar 09, 2008 at 03:52:35PM +0200, Eugene Ostapets wrote: > 09.03.08, Dmitry V. Levin написал(а): > > > > Потому что ядро, собранное с поддержкой SELinux, сильно отличается внутри > > от ядра, собранного без поддержки SELinux. > > > > Есть, конечно, SECURITY_SELINUX_BOOTPARAM и пр. отключатели selinux в > > runtime, но ядро всё равно получается немного (или много?) другое. > > > > Может быть, кто-то знает об этом больше и расскажет нам, есть ли риск от > > включения SECURITY_SELINUX при неиспользовании SELinux. > Беглое чтение инета выявило одну причину для сборки всех ядер с > SELinux - метки в iptables, и потенциальная проблема с бинарной > несовместимостью утилит iptables собранных для ядра sel на ядрах без > него... Возможно имеет смысл вести несколько пакетов iptables- > с переключением симлинка где-нибудь в rc.sysinit в зависимости от > текущего ядра? Тогда можно будет вернуть ядро с patch-o-matic... Переключение можно и в runtime сделать, по аналогии с gcc_wrapper/libtool_wrapper. Если это действительно нужно. -- ldv