On Sun, Mar 09, 2008 at 09:35:51PM +0300, Dmitry V. Levin wrote:

>> Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
>> coreutils.
DVL> И далеко не только на coreutils.
>> Что с этим делать будем?
DVL> А какие ты видишь варианты?

Моя логика проста:
1. SELinux нужен.
2. Взяться и наскоком сделать вдруг корректную её поддержку мы не сможем.

Поэтому я предложил бы сейчас следующее:

1) понять есть ли какие-то причины _не_ включать SELinux во всех ядрах, и
если нет -- включить.

2) по поводу патчей -- те, к которым нет претензий, начать прикладывать. Я
не думаю что это быстрый процесс.

3) смысл в альтернативах я вижу небольшой, за исключением тех мест, где
включение SELinux что-то ломает.

4) касаемо iptables -- в нем полезность альтернатив очевидна еще и в связи
с Patch'o'Matic. Так что этот вопрос давно назревает, и его уж лучше
просто взять и решить один раз. Многим от этого станет лучше.

5) пройдет не меньше года с тех пор как появится полная инфраструктура
(все ядра будут с SELinux, coreutils будет собрана с соответствующими
патчами, и т.д.) прежде чем существенная часть пакетов будут содержать
соответствующие профили, и от SELinux начнет появляться какая-то реальная
польза. Поэтому чем раньше -- тем лучше.

Кстати о security. Некое приложение под названием Asterisk меня несколько
за[censored], и я думаю что пора бы его вынести в чрут, для порядка. Как
бы это сделать так, чтобы переезд прошел аккуратно без применения
пользователями рук, лома, и без желания применить все это потом на мне? 

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------