[devel] SELinux в ядрах ALT

[devel] SELinux в ядрах ALT

[Eugene Ostapets]

Я понимаю, что многим проще распихать сетевые сервисы по отдельным
контейнерам, а не заниматься настройкой мандатной системы
безопасности, но...

Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
разрешенным SELinux, или мне породить очередное ядро от "кухарки"?

Я могу собрать утилиты для работы с selinux policy и подготовить
конфиги для всех пакетов, включенных в main от Server 4.0.x, но смысл
будет только в том случае, если отсуствие policy будет багом со
статусом blocker и соотвественной выдачей NMU.

Главный вопрос - есть ли заинтересованность у команды в появлении
поддержки SELinux в наших серверных продуктах? Интересно ли ООО
появление дистрибутива с поодержкой данной технологии или это будет
комьюнити проект?

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах ALT

[Aleksey Novodvorsky]

Отвечу как манагер. ООО это очень интересно, но сейчас слишком много
проектов, очень много планируемых контрактов, маловато заключенных
(последнее объективно, такой уж выборный год, но ...).
Я бы приветствовал "кухаркино ядро", шансов на его востребованность и
поддержку ООО много. Но обещать не могу.
Повторюсь, это мнение манагера, мнение ldv@ здесь, по крайней мере, не
менее важно.

Rgrds, Алексей

08.03.08, Eugene Ostapets<eostapets@gmail.com> написал(а):
> Я понимаю, что многим проще распихать сетевые сервисы по отдельным
>  контейнерам, а не заниматься настройкой мандатной системы
>  безопасности, но...
>
>  Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>  ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>  разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
>
>  Я могу собрать утилиты для работы с selinux policy и подготовить
>  конфиги для всех пакетов, включенных в main от Server 4.0.x, но смысл
>  будет только в том случае, если отсуствие policy будет багом со
>  статусом blocker и соотвественной выдачей NMU.
>
>  Главный вопрос - есть ли заинтересованность у команды в появлении
>  поддержки SELinux в наших серверных продуктах? Интересно ли ООО
>  появление дистрибутива с поодержкой данной технологии или это будет
>  комьюнити проект?
>
>  --
>  С уважением,
>  Евгений Остапец
>  uin: 23747217
>  jid: eugene_ostapets@jabber.ru
>  _______________________________________________
>  Devel mailing list
>  Devel@lists.altlinux.org
>  https://lists.altlinux.org/mailman/listinfo/devel

Re: [devel] SELinux в ядрах и userspace ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1273 bytes --]

On Sat, Mar 08, 2008 at 07:00:52PM +0200, Eugene Ostapets wrote:
> Я понимаю, что многим проще распихать сетевые сервисы по отдельным
> контейнерам, а не заниматься настройкой мандатной системы
> безопасности, но...
> 
> Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
> ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
> разрешенным SELinux, или мне породить очередное ядро от "кухарки"?

Возьмётся, но, возможно, вы сможете сделать это раньше.

> Я могу собрать утилиты для работы с selinux policy и подготовить
> конфиги для всех пакетов, включенных в main от Server 4.0.x, но смысл
> будет только в том случае, если отсуствие policy будет багом со
> статусом blocker и соотвественной выдачей NMU.

Поскольку это сильно затрагивает других мантейнеров, надо написать правила
(в смысле http://freesource.info/wiki/AltLinux/Policy/Drafts/PolicyPolicy).

> Главный вопрос - есть ли заинтересованность у команды в появлении
> поддержки SELinux в наших серверных продуктах? Интересно ли ООО
> появление дистрибутива с поодержкой данной технологии или это будет
> комьюнити проект?

Для ООО поддержка SELinux представляет интерес, но
первое время это будет в значительной своей части проект сообщества.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Igor Zubkov]

08.03.08, Eugene Ostapets написал(а):
>  Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>  ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>  разрешенным SELinux, или мне породить очередное ядро от "кухарки"?

Как очередная кухарка, могу включить selinux в ice-wks ядро. В любом
случае, я свежую версию хотел отправить на сборку.

-- 
icesik

Re: [devel] SELinux в ядрах и userspace ALT

[Eugene Ostapets]

08.03.08, Dmitry V. Levin<ldv@altlinux.org> написал(а):
> On Sat, Mar 08, 2008 at 07:00:52PM +0200, Eugene Ostapets wrote:
>  > Я понимаю, что многим проще распихать сетевые сервисы по отдельным
>  > контейнерам, а не заниматься настройкой мандатной системы
>  > безопасности, но...
>  >
>  > Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>  > ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>  > разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
>
>  Возьмётся, но, возможно, вы сможете сделать это раньше.
Не хватает реальной документации, о том, как собирать ядра для
дистрибутива (ядра для себя я еще не разучился собирать). Нужно
прозрачно описанная процедура, или, хотя бы, консультация в jabber -
доку я и сам напишу по результатам мучений...
>
>  > Я могу собрать утилиты для работы с selinux policy и подготовить
>  > конфиги для всех пакетов, включенных в main от Server 4.0.x, но смысл
>  > будет только в том случае, если отсуствие policy будет багом со
>  > статусом blocker и соотвественной выдачей NMU.
>
>  Поскольку это сильно затрагивает других мантейнеров, надо написать правила
>  (в смысле http://freesource.info/wiki/AltLinux/Policy/Drafts/PolicyPolicy).
Нужно начать этот процесс, тогда можно будет совместно с наиболее
активными мантейнерами сформулировать правила и их опубликовать. Пока
есть только желание - нечего формализовывать.
>
>  > Главный вопрос - есть ли заинтересованность у команды в появлении
>  > поддержки SELinux в наших серверных продуктах? Интересно ли ООО
>  > появление дистрибутива с поодержкой данной технологии или это будет
>  > комьюнити проект?
>
>  Для ООО поддержка SELinux представляет интерес, но
>  первое время это будет в значительной своей части проект сообщества.
Скупая слеза пролилась от воспоминания о Castle... :)
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах ALT

[Eugene Ostapets]

08.03.08, Igor Zubkov<igor.zubkov@gmail.com> написал(а):
> 08.03.08, Eugene Ostapets написал(а):
>
> >  Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>  >  ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>  >  разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
>
>
> Как очередная кухарка, могу включить selinux в ice-wks ядро. В любом
>  случае, я свежую версию хотел отправить на сборку.
Тогда давай кооперироваться... Начнем с твоего ядра + userspace...
Потом можно будет уже написать политики и начать выработку policy для
серверных пакетов, которые должны будут сами носить с собой свои
политики.

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах ALT

[Eugene Ostapets]

08.03.08, Aleksey Novodvorsky<aen@altlinux.ru> написал(а):
> Отвечу как манагер. ООО это очень интересно, но сейчас слишком много
>  проектов, очень много планируемых контрактов, маловато заключенных
>  (последнее объективно, такой уж выборный год, но ...).
>  Я бы приветствовал "кухаркино ядро", шансов на его востребованность и
>  поддержку ООО много. Но обещать не могу.
>  Повторюсь, это мнение манагера, мнение ldv@ здесь, по крайней мере, не
>  менее важно.

Разработку основных политик лучше, конечно, возложить на ООО, но для
начала процесса меня интересует общее отношение сообщества к этой
идее...

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах и userspace ALT

[Michael Shigorin]

On Sat, Mar 08, 2008 at 07:40:51PM +0200, Eugene Ostapets wrote:
> Не хватает реальной документации, о том, как собирать ядра для
> дистрибутива (ядра для себя я еще не разучился собирать). Нужно
> прозрачно описанная процедура, или, хотя бы, консультация в
> jabber - доку я и сам напишу по результатам мучений...

Пока знаю: http://wiki.sisyphus.ru/devel/KernelBuild

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] SELinux в ядрах и userspace ALT

[Eugene Ostapets]

08.03.08, Michael Shigorin<mike@osdn.org.ua> написал(а):
> On Sat, Mar 08, 2008 at 07:40:51PM +0200, Eugene Ostapets wrote:
>  > Не хватает реальной документации, о том, как собирать ядра для
>  > дистрибутива (ядра для себя я еще не разучился собирать). Нужно
>  > прозрачно описанная процедура, или, хотя бы, консультация в
>  > jabber - доку я и сам напишу по результатам мучений...
>
>
> Пока знаю: http://wiki.sisyphus.ru/devel/KernelBuild
Без комментариев того, кто знает, что стоит за этими словами - эта
статья не более, чем пустой звук...  :(

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах и userspace ALT

[Michael Shigorin]

On Sat, Mar 08, 2008 at 08:08:22PM +0200, Eugene Ostapets wrote:
> > Пока знаю: http://wiki.sisyphus.ru/devel/KernelBuild
> Без комментариев того, кто знает, что стоит за этими словами -
> эта статья не более, чем пустой звук...  :(

Дима недавно проходил эту дорожку с некоторым отзвуком сюда,
но я так и не понял -- было ли запрошенное к публикации
опубликовато.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] SELinux в ядрах и userspace ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 564 bytes --]

On Sat, Mar 08, 2008 at 09:49:35PM +0200, Michael Shigorin wrote:
> On Sat, Mar 08, 2008 at 08:08:22PM +0200, Eugene Ostapets wrote:
> > > Пока знаю: http://wiki.sisyphus.ru/devel/KernelBuild
> > Без комментариев того, кто знает, что стоит за этими словами -
> > эта статья не более, чем пустой звук...  :(
> 
> Дима недавно проходил эту дорожку с некоторым отзвуком сюда,
> но я так и не понял -- было ли запрошенное к публикации
> опубликовато.

Обсуждение в треде на тему kernel-build-scripts было, но
результата опубликовано не было.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Anton Farygin]

Igor Zubkov пишет:
> 08.03.08, Eugene Ostapets написал(а):
>>  Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>>  ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>>  разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
> 
> Как очередная кухарка, могу включить selinux в ice-wks ядро. В любом
> случае, я свежую версию хотел отправить на сборку.

Спасибо. Я хотел бы попросить сделать это всех мантейнеров ядер. 
Особенно std-*

Миша, включи SELinux, оно ничего не поломает.

Re: [devel] SELinux в ядрах ALT

[Anton Farygin]

Спасибо за тему!

Действительно, вопрос о необходимости SELinux переодически у нас 
поднимается, но до реальных заказов на такую работу дело пока не дошло. 
Соответственно ООО будет всячески приветсвовать эту работу, но сильно 
значимые ресурсы на это выделить в данный момент не сможет. Хотя надежда 
на то, что всё поменяется - есть.

Видимо стоит начинать процесс по интеграции SELinux силами сообщества, с 
просьбой не сопротивляться сотрудников ООО.


Eugene Ostapets пишет:
> Я понимаю, что многим проще распихать сетевые сервисы по отдельным
> контейнерам, а не заниматься настройкой мандатной системы
> безопасности, но...
> 
> Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
> ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
> разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
> 
> Я могу собрать утилиты для работы с selinux policy и подготовить
> конфиги для всех пакетов, включенных в main от Server 4.0.x, но смысл
> будет только в том случае, если отсуствие policy будет багом со
> статусом blocker и соотвественной выдачей NMU.
> 
> Главный вопрос - есть ли заинтересованность у команды в появлении
> поддержки SELinux в наших серверных продуктах? Интересно ли ООО
> появление дистрибутива с поодержкой данной технологии или это будет
> комьюнити проект?
> 

Re: [devel] SELinux в ядрах ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 753 bytes --]

On Sun, Mar 09, 2008 at 01:38:46AM +0300, Anton Farygin wrote:
> Igor Zubkov пишет:
> >08.03.08, Eugene Ostapets написал(а):
> >> Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
> >> ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
> >> разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
> >
> >Как очередная кухарка, могу включить selinux в ice-wks ядро. В любом
> >случае, я свежую версию хотел отправить на сборку.
> 
> Спасибо. Я хотел бы попросить сделать это всех мантейнеров ядер. 
> Особенно std-*
> 
> Миша, включи SELinux, оно ничего не поломает.

Включать selinux во всех ядра нельзя.
Но хорошо бы в каждом flavour держать по subflavour'у с включённым selinux.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 792 bytes --]

On Sat, Mar 08, 2008 at 07:00:52PM +0200, Eugene Ostapets wrote:
> Я понимаю, что многим проще распихать сетевые сервисы по отдельным
> контейнерам, а не заниматься настройкой мандатной системы
> безопасности, но...

Кстати, научный профессор DJB Бернштейн считает, что SELinux
ничего не даёт и нифига не нужен.

	I have become convinced that this "principle of least privilege"
	is fundamentally wrong. Minimizing privilege might reduce the
	damage done by some security holes but almost never fixes the
	holes. Minimizing privilege is not the same as minimizing the
	amount of trusted code, does not have the same benefits as
	minimizing the amount of trusted code, and does not move us any
	closer to a secure computer system.

http://cr.yp.to/qmail/qmailsec-20071101.pdf

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Хихин Руслан]

Здравствуйте Alexey Tourbin
  В сообщении от 9 марта 2008 Alexey Tourbin написал(a):
 > On Sat, Mar 08, 2008 at 07:00:52PM +0200, Eugene Ostapets wrote:
 > > Я понимаю, что многим проще распихать сетевые сервисы по отдельным
 > > контейнерам, а не заниматься настройкой мандатной системы
 > > безопасности, но...
 >
 > Кстати, научный профессор DJB Бернштейн считает, что SELinux
 > ничего не даёт и нифига не нужен.
 >
 > 	I have become convinced that this "principle of least privilege"
 > 	is fundamentally wrong. Minimizing privilege might reduce the
 > 	damage done by some security holes but almost never fixes the
 > 	holes. Minimizing privilege is not the same as minimizing the
 > 	amount of trusted code, does not have the same benefits as
 > 	minimizing the amount of trusted code, and does not move us any
 > 	closer to a secure computer system.
 >
 > http://cr.yp.to/qmail/qmailsec-20071101.pdf
У заказчиков обычно другое мнение :)


-- 
С  уважением Хихин Руслан

Re: [devel] SELinux в ядрах ALT

[Anton Farygin]

Dmitry V. Levin пишет:
> On Sun, Mar 09, 2008 at 01:38:46AM +0300, Anton Farygin wrote:
>> Igor Zubkov пишет:
>>> 08.03.08, Eugene Ostapets написал(а):
>>>> Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>>>> ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>>>> разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
>>> Как очередная кухарка, могу включить selinux в ice-wks ядро. В любом
>>> случае, я свежую версию хотел отправить на сборку.
>> Спасибо. Я хотел бы попросить сделать это всех мантейнеров ядер. 
>> Особенно std-*
>>
>> Миша, включи SELinux, оно ничего не поломает.
> 
> Включать selinux во всех ядра нельзя.
> Но хорошо бы в каждом flavour держать по subflavour'у с включённым selinux.

Почему нельзя ? Дим, не говори загадками, поясни ;)

Re: [devel] SELinux в ядрах ALT

[Eugene Ostapets]

09.03.08, Alexey Tourbin<at altlinux.ru> написал(а):
> On Sat, Mar 08, 2008 at 07:00:52PM +0200, Eugene Ostapets wrote:
>
> > Я понимаю, что многим проще распихать сетевые сервисы по отдельным
>  > контейнерам, а не заниматься настройкой мандатной системы
>  > безопасности, но...
>
>
> Кстати, научный профессор DJB Бернштейн считает, что SELinux
>  ничего не даёт и нифига не нужен.
>
У этого господина вообще странное отношение к безопасности... Все, что
написано не им, ВЕЛИКИМ И МОГУЧИМ, является дырявым булшитом... Сама
по себе система мандатного доступа повышает устойчивость системы к
0-day exploit, не не отменяет необходимости обновлять пакет на
неуязвимую версию, не отменяет необходимости чрутизации и прочего...
Просто господин Бернштейн живет в выдуманном мире, где никому не нужны
другие сервисы, кроме qmail и dj dns...
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1319 bytes --]

On Sun, Mar 09, 2008 at 11:02:07AM +0300, Anton Farygin wrote:
> Dmitry V. Levin пишет:
> >On Sun, Mar 09, 2008 at 01:38:46AM +0300, Anton Farygin wrote:
> >>Igor Zubkov пишет:
> >>>08.03.08, Eugene Ostapets написал(а):
> >>>>Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
> >>>>ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
> >>>>разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
> >>>Как очередная кухарка, могу включить selinux в ice-wks ядро. В любом
> >>>случае, я свежую версию хотел отправить на сборку.
> >>Спасибо. Я хотел бы попросить сделать это всех мантейнеров ядер. 
> >>Особенно std-*
> >>
> >>Миша, включи SELinux, оно ничего не поломает.
> >
> >Включать selinux во всех ядра нельзя.
> >Но хорошо бы в каждом flavour держать по subflavour'у с включённым selinux.
> 
> Почему нельзя ? Дим, не говори загадками, поясни ;)

Потому что ядро, собранное с поддержкой SELinux, сильно отличается внутри
от ядра, собранного без поддержки SELinux.

Есть, конечно, SECURITY_SELINUX_BOOTPARAM и пр. отключатели selinux в
runtime, но ядро всё равно получается немного (или много?) другое.

Может быть, кто-то знает об этом больше и расскажет нам, есть ли риск от
включения SECURITY_SELINUX при неиспользовании SELinux.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Eugene Ostapets]

09.03.08, Dmitry V. Levin<ldv altlinux.org> написал(а):
>  > Почему нельзя ? Дим, не говори загадками, поясни ;)
>
>
> Потому что ядро, собранное с поддержкой SELinux, сильно отличается внутри
>  от ядра, собранного без поддержки SELinux.
>
>  Есть, конечно, SECURITY_SELINUX_BOOTPARAM и пр. отключатели selinux в
>  runtime, но ядро всё равно получается немного (или много?) другое.
>
>  Может быть, кто-то знает об этом больше и расскажет нам, есть ли риск от
>  включения SECURITY_SELINUX при неиспользовании SELinux.
Беглое чтение инета выявило одну причину для сборки всех ядер с
SELinux - метки в iptables, и потенциальная проблема с бинарной
несовместимостью утилит iptables собранных для ядра sel на ядрах без
него... Возможно имеет смысл вести несколько пакетов iptables-<flavor>
 с переключением симлинка где-нибудь в rc.sysinit в зависимости от
текущего ядра? Тогда можно будет вернуть ядро с patch-o-matic...
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1108 bytes --]

On Sun, Mar 09, 2008 at 03:52:35PM +0200, Eugene Ostapets wrote:
> 09.03.08, Dmitry V. Levin<ldv altlinux.org> написал(а):
> >
> > Потому что ядро, собранное с поддержкой SELinux, сильно отличается внутри
> >  от ядра, собранного без поддержки SELinux.
> >
> >  Есть, конечно, SECURITY_SELINUX_BOOTPARAM и пр. отключатели selinux в
> >  runtime, но ядро всё равно получается немного (или много?) другое.
> >
> >  Может быть, кто-то знает об этом больше и расскажет нам, есть ли риск от
> >  включения SECURITY_SELINUX при неиспользовании SELinux.
> Беглое чтение инета выявило одну причину для сборки всех ядер с
> SELinux - метки в iptables, и потенциальная проблема с бинарной
> несовместимостью утилит iptables собранных для ядра sel на ядрах без
> него... Возможно имеет смысл вести несколько пакетов iptables-<flavor>
>  с переключением симлинка где-нибудь в rc.sysinit в зависимости от
> текущего ядра? Тогда можно будет вернуть ядро с patch-o-matic...

Переключение можно и в runtime сделать, по аналогии с
gcc_wrapper/libtool_wrapper.  Если это действительно нужно.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Anton Farygin]

Dmitry V. Levin пишет:
> On Sun, Mar 09, 2008 at 11:02:07AM +0300, Anton Farygin wrote:
>> Dmitry V. Levin пишет:
>>> On Sun, Mar 09, 2008 at 01:38:46AM +0300, Anton Farygin wrote:
>>>> Igor Zubkov пишет:
>>>>> 08.03.08, Eugene Ostapets написал(а):
>>>>>> Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>>>>>> ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>>>>>> разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
>>>>> Как очередная кухарка, могу включить selinux в ice-wks ядро. В любом
>>>>> случае, я свежую версию хотел отправить на сборку.
>>>> Спасибо. Я хотел бы попросить сделать это всех мантейнеров ядер. 
>>>> Особенно std-*
>>>>
>>>> Миша, включи SELinux, оно ничего не поломает.
>>> Включать selinux во всех ядра нельзя.
>>> Но хорошо бы в каждом flavour держать по subflavour'у с включённым selinux.
>> Почему нельзя ? Дим, не говори загадками, поясни ;)
> 
> Потому что ядро, собранное с поддержкой SELinux, сильно отличается внутри
> от ядра, собранного без поддержки SELinux.

Да, это так. И некоторые userspace утилиты могут на это завязываться. 
Что в дальнейшем может привести к необходимости ставить тот или иной 
набор утилит, если ядро с SELinux/без него.

Видимо поэтому стоит включить SELinux по умолчанию, и не заморачиваться 
с выбором утилит.

Но прежде надо понять, кому от этого будет плохо.

2vsu: расскажешь ?

Re: [devel] SELinux в ядрах ALT

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 439 bytes --]

On Sun, Mar 09, 2008 at 05:07:10PM +0300, Dmitry V. Levin wrote:

DVL> Переключение можно и в runtime сделать, по аналогии с
DVL> gcc_wrapper/libtool_wrapper.  Если это действительно нужно.

Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
coreutils. Что с этим делать будем?

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Eugene Ostapets]

09.03.08, Денис Смирнов<mithraen@altlinux.ru> написал(а):
> On Sun, Mar 09, 2008 at 05:07:10PM +0300, Dmitry V. Levin wrote:
>
>  DVL> Переключение можно и в runtime сделать, по аналогии с
>  DVL> gcc_wrapper/libtool_wrapper.  Если это действительно нужно.
>
>  Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
>  coreutils. Что с этим делать будем?
Дорогу осилит идущий... Я пока залил userspace, ждем ядра от icesik@,
потом будет сборка и тестирование в qemu и развешивание багов с
патчами... Путь долгий, но если его не начать, то и через год ничего
не изменится...
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах ALT

[Alexey Tourbin]

[-- Attachment #1: Type: text/plain, Size: 1190 bytes --]

On Sun, Mar 09, 2008 at 08:35:58PM +0300, Денис Смирнов wrote:
> On Sun, Mar 09, 2008 at 05:07:10PM +0300, Dmitry V. Levin wrote:
> 
> DVL> Переключение можно и в runtime сделать, по аналогии с
> DVL> gcc_wrapper/libtool_wrapper.  Если это действительно нужно.
> 
> Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
> coreutils. Что с этим делать будем?

Это что-то невероятное ("это какой-то позор").
Хотя вроде бы что-то такое есть.

$ lsdiff Fedora/coreutils/devel/coreutils-selinux.patch
coreutils-6.10/configure.ac
coreutils-6.10/man/cp.1
coreutils-6.10/man/dir.1
coreutils-6.10/man/chcon.1
coreutils-6.10/man/id.1
coreutils-6.10/man/install.1
coreutils-6.10/man/ls.1
coreutils-6.10/man/mkdir.1
coreutils-6.10/man/mkfifo.1
coreutils-6.10/man/mknod.1
coreutils-6.10/man/stat.1
coreutils-6.10/man/vdir.1
coreutils-6.10/src/copy.c
coreutils-6.10/src/copy.h
coreutils-6.10/src/cp.c
coreutils-6.10/src/id.c
coreutils-6.10/src/install.c
coreutils-6.10/src/ls.c
coreutils-6.10/src/mkdir.c
coreutils-6.10/src/mkfifo.c
coreutils-6.10/src/mknod.c
coreutils-6.10/src/mv.c
coreutils-6.10/src/stat.c
coreutils-6.10/tests/misc/selinux
$

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Михаил Якушин]

Eugene Ostapets wrote:
> Я понимаю, что многим проще распихать сетевые сервисы по отдельным
> контейнерам, а не заниматься настройкой мандатной системы
> безопасности, но...
> 
> Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
> ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
> разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
> 
Я готов включить в дефалтное ядро selinux c bootparam по девфалту в 0, 
если оно действительно ничего не сломает.
Давайте сделаем  так. Я сделаю ядро std-se, и посмотрим как оно будет 
работать, если будет работать нормально, замерджу в def

Re: [devel] SELinux в ядрах ALT

[Eugene Ostapets]

09.03.08, Михаил Якушин<silicium@altlinux.ru> написал(а):
> Eugene Ostapets wrote:
>  > Я понимаю, что многим проще распихать сетевые сервисы по отдельным
>  > контейнерам, а не заниматься настройкой мандатной системы
>  > безопасности, но...
>  >
>  > Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>  > ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>  > разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
>  >
>
> Я готов включить в дефалтное ядро selinux c bootparam по девфалту в 0,
>  если оно действительно ничего не сломает.
>  Давайте сделаем  так. Я сделаю ядро std-se, и посмотрим как оно будет
>  работать, если будет работать нормально, замерджу в def
Это было бы замечательно, поскольку userspace уже уехал в incomming и
хотелось бы начать процесс тестирования пока есть свободное время, а
то начнется лето и всем резко станет не до работы :)
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 472 bytes --]

On Sun, Mar 09, 2008 at 08:35:58PM +0300, Денис Смирнов wrote:
> On Sun, Mar 09, 2008 at 05:07:10PM +0300, Dmitry V. Levin wrote:
> 
> DVL> Переключение можно и в runtime сделать, по аналогии с
> DVL> gcc_wrapper/libtool_wrapper.  Если это действительно нужно.
> 
> Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
> coreutils.

И далеко не только на coreutils.

> Что с этим делать будем?

А какие ты видишь варианты?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 722 bytes --]

On Sun, Mar 09, 2008 at 07:42:58PM +0200, Eugene Ostapets wrote:
> 09.03.08, Денис Смирнов<mithraen@altlinux.ru> написал(а):
> > On Sun, Mar 09, 2008 at 05:07:10PM +0300, Dmitry V. Levin wrote:
> >
> >  DVL> Переключение можно и в runtime сделать, по аналогии с
> >  DVL> gcc_wrapper/libtool_wrapper.  Если это действительно нужно.
> >
> >  Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
> >  coreutils. Что с этим делать будем?
> Дорогу осилит идущий... Я пока залил userspace, ждем ядра от icesik@,
> потом будет сборка и тестирование в qemu и развешивание багов с
> патчами... Путь долгий, но если его не начать, то и через год ничего
> не изменится...

Логично.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Igor Zubkov]

09.03.08, Денис Смирнов написал(а):
>  DVL> Переключение можно и в runtime сделать, по аналогии с
>  DVL> gcc_wrapper/libtool_wrapper.  Если это действительно нужно.
>
>  Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
>  coreutils. Что с этим делать будем?

Там не только coreutils надо патчить. На сколько я помню, нужно
трогать SysVinit. Но самое проблемное, это rpm. Надо будет бекпортить
из 4.3 или 4.4 на наш. Или из 5 ветки с rpm5.org. Надо смотреть что
там в rpm патчили для поддержки selinux.

-- 
icesik

Re: [devel] SELinux в ядрах ALT

[Igor Zubkov]

10.03.08, Igor Zubkov написал(а):
> >  DVL> Переключение можно и в runtime сделать, по аналогии с
>  >  DVL> gcc_wrapper/libtool_wrapper.  Если это действительно нужно.
>  >
>  >  Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
>  >  coreutils. Что с этим делать будем?
>
> Там не только coreutils надо патчить. На сколько я помню, нужно
>  трогать SysVinit. Но самое проблемное, это rpm. Надо будет бекпортить
>  из 4.3 или 4.4 на наш. Или из 5 ветки с rpm5.org. Надо смотреть что
>  там в rpm патчили для поддержки selinux.

А rpm-5.0.3 не собирается вот с таким. Я знаю что это проделки
-Wl,--as-needed, но мои сил не хватило на исправление.

gcc -g -O2 -D_GNU_SOURCE -D_REENTRANT -o .libs/rpm2cpio rpm2cpio.o
../build/.libs/librpmbuild.so
/home/icesik/tmp/rpm-5.0.3/lib/.libs/librpm.so
-L/home/icesik/tmp/rpm-5.0.3/db3 -L/home/icesik/tmp/rpm-5.0.3/zlib
-L/home/icesik/tmp/rpm-5.0.3/file/src
-L/home/icesik/tmp/rpm-5.0.3/file ../lib/.libs/librpm.so
/home/icesik/tmp/rpm-5.0.3/rpmdb/.libs/librpmdb.so
../rpmdb/.libs/librpmdb.so
/home/icesik/tmp/rpm-5.0.3/rpmio/.libs/librpmio.so
../rpmio/.libs/librpmio.so
/home/icesik/tmp/rpm-5.0.3/misc/.libs/librpmmisc.so
../misc/.libs/librpmmisc.so -lpopt -lbeecrypt -lpthread -lrt
-Wl,--rpath -Wl,/usr/local/lib
/home/icesik/tmp/rpm-5.0.3/misc/.libs/librpmmisc.so: undefined
reference to `inflateEnd'
/home/icesik/tmp/rpm-5.0.3/misc/.libs/librpmmisc.so: undefined
reference to `inflateInit2_'
/home/icesik/tmp/rpm-5.0.3/misc/.libs/librpmmisc.so: undefined
reference to `inflate'
/home/icesik/tmp/rpm-5.0.3/rpmdb/.libs/librpmdb.so: undefined
reference to `poptSaveLong'
/home/icesik/tmp/rpm-5.0.3/rpmdb/.libs/librpmdb.so: undefined
reference to `poptSaveInt'
collect2: ld returned 1 exit status
make[2]: *** [rpm2cpio] Ошибка 1
make[2]: Leaving directory `/home/icesik/tmp/rpm-5.0.3/tools'
make[1]: *** [all-recursive] Ошибка 1
make[1]: Leaving directory `/home/icesik/tmp/rpm-5.0.3'
make: *** [all] Ошибка 2
[icesik@icesik rpm-5.0.3]$

-- 
icesik

Re: [devel] rpm-5.0.3

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 834 bytes --]

On Mon, Mar 10, 2008 at 02:06:20AM +0200, Igor Zubkov wrote:
> 10.03.08, Igor Zubkov написал(а):
> > >  DVL> Переключение можно и в runtime сделать, по аналогии с
> >  >  DVL> gcc_wrapper/libtool_wrapper.  Если это действительно нужно.
> >  >
> >  >  Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
> >  >  coreutils. Что с этим делать будем?
> >
> > Там не только coreutils надо патчить. На сколько я помню, нужно
> >  трогать SysVinit. Но самое проблемное, это rpm. Надо будет бекпортить
> >  из 4.3 или 4.4 на наш. Или из 5 ветки с rpm5.org. Надо смотреть что
> >  там в rpm патчили для поддержки selinux.
> 
> А rpm-5.0.3 не собирается вот с таким. Я знаю что это проделки
> -Wl,--as-needed, но мои сил не хватило на исправление.

В PLD всё это должно быть уже исправлено.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1715 bytes --]

On Sun, Mar 09, 2008 at 09:35:51PM +0300, Dmitry V. Levin wrote:

>> Насколько я помню, полноценная работа SELinux подразумевает ряд патчей на
>> coreutils.
DVL> И далеко не только на coreutils.
>> Что с этим делать будем?
DVL> А какие ты видишь варианты?

Моя логика проста:
1. SELinux нужен.
2. Взяться и наскоком сделать вдруг корректную её поддержку мы не сможем.

Поэтому я предложил бы сейчас следующее:

1) понять есть ли какие-то причины _не_ включать SELinux во всех ядрах, и
если нет -- включить.

2) по поводу патчей -- те, к которым нет претензий, начать прикладывать. Я
не думаю что это быстрый процесс.

3) смысл в альтернативах я вижу небольшой, за исключением тех мест, где
включение SELinux что-то ломает.

4) касаемо iptables -- в нем полезность альтернатив очевидна еще и в связи
с Patch'o'Matic. Так что этот вопрос давно назревает, и его уж лучше
просто взять и решить один раз. Многим от этого станет лучше.

5) пройдет не меньше года с тех пор как появится полная инфраструктура
(все ядра будут с SELinux, coreutils будет собрана с соответствующими
патчами, и т.д.) прежде чем существенная часть пакетов будут содержать
соответствующие профили, и от SELinux начнет появляться какая-то реальная
польза. Поэтому чем раньше -- тем лучше.

Кстати о security. Некое приложение под названием Asterisk меня несколько
за[censored], и я думаю что пора бы его вынести в чрут, для порядка. Как
бы это сделать так, чтобы переезд прошел аккуратно без применения
пользователями рук, лома, и без желания применить все это потом на мне? 

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------


[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 855 bytes --]

On Sun, Mar 09, 2008 at 09:59:09AM +0300, Алексей Турбин wrote:

>> Я понимаю, что многим проще распихать сетевые сервисы по отдельным
>> контейнерам, а не заниматься настройкой мандатной системы
>> безопасности, но...
AT> Кстати, научный профессор DJB Бернштейн считает, что SELinux
AT> ничего не даёт и нифига не нужен.

Да-да-да. В связи с его позицией предлагаю вынести у нас все из чрута, а
потом вынести из сизифа все пакеты в которых хоть раз находили security
bug.

Мне, конечно, очень нравится софт DJB, но его мнение по любым вопросам
_организации_ security меня лично не интересуют.

Да, а еще я считаю что security by obscurity _тоже_ нужно, хотя его и
нельзя вообще называть словом "security".

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах ALT

[Михаил Якушин]

Eugene Ostapets wrote:
> 09.03.08, Михаил Якушин<silicium@altlinux.ru> написал(а):
>> Eugene Ostapets wrote:
[skip]
>>  > Потребность на серверах в SELinux/RSBAC есть. Вопрос в том, возьмется
>>  > ли кто-то из майнтейнеров СУЩЕСТВУЮЩИХ ядер за сборку ядра с
>>  > разрешенным SELinux, или мне породить очередное ядро от "кухарки"?
>>  >
>>
>> Я готов включить в дефалтное ядро selinux c bootparam по девфалту в 0,
>>  если оно действительно ничего не сломает.
>>  Давайте сделаем  так. Я сделаю ядро std-se, и посмотрим как оно будет
>>  работать, если будет работать нормально, замерджу в def
> Это было бы замечательно, поскольку userspace уже уехал в incomming и
> хотелось бы начать процесс тестирования пока есть свободное время, а
> то начнется лето и всем резко станет не до работы :)
Собрал, поставил себе на ноут. С selinux=0(по дефалту так) вообще ничего 
не заметил, даже в dmesg ничего нет. с selinux=1 вроде тоже работает, но 
следы SELinux появились.
Посему отправил в сизиф std-se.

Re: [devel] rpm-5.0.3

[Alexander Myltsev]

2008/3/10 Dmitry V. Levin <ldv@altlinux.org>:
>  > А rpm-5.0.3 не собирается вот с таким. Я знаю что это проделки
>  > -Wl,--as-needed, но мои сил не хватило на исправление.
>  В PLD всё это должно быть уже исправлено.

Just use %configure --with-build-maxextlibdep.

История этой опции:
http://rpm5.org/community/rpm-devel/1176.html

Re: [devel] rpm-5.0.3

[Igor Zubkov]

10.03.08, Alexander Myltsev написал(а):
> 2008/3/10 Dmitry V. Levin:
> >  > А rpm-5.0.3 не собирается вот с таким. Я знаю что это проделки
>  >  > -Wl,--as-needed, но мои сил не хватило на исправление.
>  >  В PLD всё это должно быть уже исправлено.

Не нашёл. У них всё ещё 4.4 rpm только правда с rpm5.org уже.

> Just use %configure --with-build-maxextlibdep.

Не помогло. Не собирается с теми же симптомами недолинковки.

>  История этой опции:
>  http://rpm5.org/community/rpm-devel/1176.html

-- 
icesik

Re: [devel] SELinux в ядрах и userspace ALT

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 257 bytes --]

* Dmitry V. Levin <ldv@> [080308 20:20]:
> Для ООО поддержка SELinux представляет интерес, но
> первое время это будет в значительной своей части проект сообщества.
А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 354 bytes --]

On Mon, Mar 10, 2008 at 10:46:18PM +0300, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [080308 20:20]:
> > Для ООО поддержка SELinux представляет интерес, но
> > первое время это будет в значительной своей части проект сообщества.
> А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...

Давайте не будем разбрасываться.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 397 bytes --]

Twas brillig at 22:50:51 10.03.2008 UTC+03 when Dmitry V. Levin did gyre and gimble:

 >> А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...
 DVL> Давайте не будем разбрасываться.

Не, ну кто хочет - пусть разбрасывается. Недеструктивно и в свободное
время :)

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 365 bytes --]

* Dmitry V. Levin <ldv@> [080310 22:53]:
> > > Для ООО поддержка SELinux представляет интерес, но
> > > первое время это будет в значительной своей части проект сообщества.
> > А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...
> Давайте не будем разбрасываться.
Меня немного пугает такое количество патчей на всё подряд.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 647 bytes --]

On Mon, Mar 10, 2008 at 11:16:07PM +0300, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [080310 22:53]:
> > > > Для ООО поддержка SELinux представляет интерес, но
> > > > первое время это будет в значительной своей части проект сообщества.
> > > А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...
> > Давайте не будем разбрасываться.
> Меня немного пугает такое количество патчей на всё подряд.

Почти все эти патчи приходятся на пакеты, которые пока что числятся за мной.
Так что тебе пока пугаться рано.
Кроме того, за последние несколько лет многие патчи были прочищены и уже
приняты многими апстримами.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Eugene Ostapets]

10.03.08, Alexey I. Froloff<raorn@altlinux.ru> написал(а):
> * Dmitry V. Levin <ldv@> [080308 20:20]:
>
> > Для ООО поддержка SELinux представляет интерес, но
>  > первое время это будет в значительной своей части проект сообщества.
>
> А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...
Нужен... Возьмешься?:)
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах и userspace ALT

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 369 bytes --]

* Eugene Ostapets <eostapets@> [080310 23:34]:
> > > Для ООО поддержка SELinux представляет интерес, но
> >  > первое время это будет в значительной своей части проект сообщества.
> > А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...
> Нужен... Возьмешься?:)
rsbac+sel+xen+ovz?  Без PAE и с mactel патчами.  Это будет жэсть.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Eugene Ostapets]

10.03.08, Alexey I. Froloff<raorn@altlinux.ru> написал(а):
> * Eugene Ostapets <eostapets@> [080310 23:34]:
>
> > > > Для ООО поддержка SELinux представляет интерес, но
>  > >  > первое время это будет в значительной своей части проект сообщества.
>  > > А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...
>  > Нужен... Возьмешься?:)
>
> rsbac+sel+xen+ovz?
В Debian и Gentoo это доступно...
>  Это будет жэсть.
Ты так низко ценишь нашу команду?
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах и userspace ALT

[Led]

Monday, 10 March 2008 22:48:03 Alexey I. Froloff написав:
> * Eugene Ostapets <eostapets@> [080310 23:34]:
> > > > Для ООО поддержка SELinux представляет интерес, но
> > > >
> > >  > первое время это будет в значительной своей части проект сообщества.
> > >
> > > А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...
> >
> > Нужен... Возьмешься?:)
>
> rsbac+sel+xen+ovz?  Без PAE и с mactel патчами.  Это будет жэсть.

"Страшность" mactel патчей слишком преувеличена. Может стОит сначала взглянуть 
на них, прежде чем "клеймить"?

-- 
Led

Re: [devel] SELinux в ядрах и userspace ALT

[Михаил Якушин]

Eugene Ostapets wrote:
> 10.03.08, Alexey I. Froloff<raorn@altlinux.ru> написал(а):
>> * Eugene Ostapets <eostapets@> [080310 23:34]:
>>
>>>>> Для ООО поддержка SELinux представляет интерес, но
>>  > >  > первое время это будет в значительной своей части проект сообщества.
>>  > > А RSBAC нам не нужен?  Недавно вышел 1.3.8 для 2.6.24.3...
>>  > Нужен... Возьмешься?:)
>>
>> rsbac+sel+xen+ovz?
> В Debian и Gentoo это доступно...
>>  Это будет жэсть.
> Ты так низко ценишь нашу команду?
Я честно говоря опасаюсь за стабильность такого сурового сочетания.
Хотя я посмотрел внутрь SELinux он пока он не включён он не изменяет 
поведения ядра, следовательно скорее всего безобиден, хотя проверить на 
практике стоит.
А вот xen c ovz перетачивают ядро сильно, следовательно хотя бы 
сочетание этих двух пачей может привести к странным последствиям.
А если там включить SEL то вообще фиг знает чем это закончиться, они 
банально могут подраться с ovz потому что изменяют провидение примерно 
одних мест.
Хотя насколько я понял SE любят в RedHat, да и xen следовательно 
сочетание sel+xen они как минимум теститли, а vz туда сами vzники 
приложили сверху, и видимо тоже проверяли. Вобщем на это стоит посмотреть.
А вот как на это всё влияет rsbac для меня загадка, потому что даже не 
смотрел ещё.

Re: [devel] SELinux в ядрах и userspace ALT

[Eugene Ostapets]

10.03.08, Михаил Якушин<silicium altlinux.ru> написал(а):
> Eugene Ostapets wrote:
> Я честно говоря опасаюсь за стабильность такого сурового сочетания.
>  Хотя я посмотрел внутрь SELinux он пока он не включён он не изменяет
>  поведения ядра, следовательно скорее всего безобиден, хотя проверить на
>  практике стоит.
>  А вот xen c ovz перетачивают ядро сильно, следовательно хотя бы
>  сочетание этих двух пачей может привести к странным последствиям.
>  А если там включить SEL то вообще фиг знает чем это закончиться, они
>  банально могут подраться с ovz потому что изменяют провидение примерно
>  одних мест.
>  Хотя насколько я понял SE любят в RedHat, да и xen следовательно
>  сочетание sel+xen они как минимум теститли, а vz туда сами vzники
>  приложили сверху, и видимо тоже проверяли. Вобщем на это стоит посмотреть.
>  А вот как на это всё влияет rsbac для меня загадка, потому что даже не
>  смотрел ещё.
Я имел ввиду не комбайн из 4-х технологий, я хотел бы, чтобы были не
менее 4-х вариантов серверного ядра для разных задач... Комбинации
технологий так же интересны, но пока мало восстребованы...

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] [JT] SELinux в ядрах и userspace ALT

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 338 bytes --]

* Led <ledest@> [080311 00:04]:
> > rsbac+sel+xen+ovz?  Без PAE и с mactel патчами.  Это будет жэсть.
> "Страшность" mactel патчей слишком преувеличена. Может стОит сначала взглянуть 
> на них, прежде чем "клеймить"?
"Суперзащищённое ядро с виртуализацией для запуска на субноутах и
макбуках".  Звучит.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Михаил Якушин]

Eugene Ostapets wrote:
> 10.03.08, Михаил Якушин<silicium altlinux.ru> написал(а):
>> Eugene Ostapets wrote:
>> Я честно говоря опасаюсь за стабильность такого сурового сочетания.
>>  Хотя я посмотрел внутрь SELinux он пока он не включён он не изменяет
>>  поведения ядра, следовательно скорее всего безобиден, хотя проверить на
>>  практике стоит.
>>  А вот xen c ovz перетачивают ядро сильно, следовательно хотя бы
>>  сочетание этих двух пачей может привести к странным последствиям.
>>  А если там включить SEL то вообще фиг знает чем это закончиться, они
>>  банально могут подраться с ovz потому что изменяют провидение примерно
>>  одних мест.
>>  Хотя насколько я понял SE любят в RedHat, да и xen следовательно
>>  сочетание sel+xen они как минимум теститли, а vz туда сами vzники
>>  приложили сверху, и видимо тоже проверяли. Вобщем на это стоит посмотреть.
>>  А вот как на это всё влияет rsbac для меня загадка, потому что даже не
>>  смотрел ещё.
> Я имел ввиду не комбайн из 4-х технологий, я хотел бы, чтобы были не
> менее 4-х вариантов серверного ядра для разных задач... Комбинации
> технологий так же интересны, но пока мало восстребованы...
> 
Здесь я согласен.

Re: [devel] [JT] SELinux в ядрах и userspace ALT

[Михаил Якушин]

Alexey I. Froloff wrote:
> * Led <ledest@> [080311 00:04]:
>>> rsbac+sel+xen+ovz?  Без PAE и с mactel патчами.  Это будет жэсть.
>> "Страшность" mactel патчей слишком преувеличена. Может стОит сначала взглянуть 
>> на них, прежде чем "клеймить"?
> "Суперзащищённое ядро с виртуализацией для запуска на субноутах и
> макбуках".  Звучит.
Может туда ещё lowlatecy или RT пачи? :)

Re: [devel] [JT] SELinux в ядрах и userspace ALT

[Led]

Monday, 10 March 2008 23:16:11 Михаил Якушин написав:
> Alexey I. Froloff wrote:
> > * Led <ledest@> [080311 00:04]:
> >>> rsbac+sel+xen+ovz?  Без PAE и с mactel патчами.  Это будет жэсть.
> >>
> >> "Страшность" mactel патчей слишком преувеличена. Может стОит сначала
> >> взглянуть на них, прежде чем "клеймить"?
> >
> > "Суперзащищённое ядро с виртуализацией для запуска на субноутах и
> > макбуках".  Звучит.
>
> Может туда ещё lowlatecy или RT пачи? :)

Да, очень смешно. Только смешные hrtimer патчи почему-то попали в 2.6.24.
Давайте ещё поржём: из RT-ветки патчи регулярно попадают в апстрим ядро. 
Подкидуйте ещё темы "на поржать". Например, про смешной NO_HZ в "серверном" 
ядре (про его "смешную ненужность" в нем) и т.п.

-- 
Led

Re: [devel] [JT] SELinux в ядрах и userspace ALT

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 643 bytes --]

On Tue, Mar 11, 2008 at 12:11:15AM +0300, Alexey I. Froloff wrote:

>>> rsbac+sel+xen+ovz?  Без PAE и с mactel патчами.  Это будет жэсть.
>> "Страшность" mactel патчей слишком преувеличена. Может стОит сначала взглянуть 
>> на них, прежде чем "клеймить"?
AIF> "Суперзащищённое ядро с виртуализацией для запуска на субноутах и
AIF> макбуках".  Звучит.

На субноутах бывает работают с критичной по безопасности инфой. И
виртуализация на ноуте будет не лишней для тех, кто тестит на нем
какой-либо софт.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] [JT] SELinux в ядрах и userspace ALT

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 631 bytes --]

On Tue, Mar 11, 2008 at 12:16:11AM +0300, Михаил Якушин wrote:
 МЯ> Alexey I. Froloff wrote:
>> * Led <ledest@> [080311 00:04]:
>>>> rsbac+sel+xen+ovz?  Без PAE и с mactel патчами.  Это будет жэсть.
>>> "Страшность" mactel патчей слишком преувеличена. Может стОит сначала 
>>> взглянуть на них, прежде чем "клеймить"?
>> "Суперзащищённое ядро с виртуализацией для запуска на субноутах и
>> макбуках".  Звучит.
МЯ> Может туда ещё lowlatecy или RT пачи? :)

Я за, если это будет работать :)

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 443 bytes --]

On Mon, Mar 10, 2008 at 10:53:29PM +0200, Eugene Ostapets wrote:
> Ты так низко ценишь нашу команду?
Да, я не хочу, чтобы системные библиотеки собирал человек, не умеющий
их даже пакетить.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

evo -- точно не дозрела. Другое дело, что я так ненавижу это приложение,
что с удовольствием изуродую его еще больше, выложив полуработающую
версию :-)
		-- aen in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Eugene Ostapets]

11.03.08, Andrey Rahmatullin<wrar altlinux.ru> написал(а):
> On Mon, Mar 10, 2008 at 10:53:29PM +0200, Eugene Ostapets wrote:
>  > Ты так низко ценишь нашу команду?
>
> Да, я не хочу, чтобы системные библиотеки собирал человек, не умеющий
>  их даже пакетить.
Это ты о человеке, который получив право собирать библиотеку, так и не
собрался с силами починить сборку на x86_64 за год?

Давай каждый будет делать то, что может, а остальные вместо кидания
какашками, будут помогать по мере возможностей... Тогда у нас все
будет работать...

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [devel] SELinux в ядрах и userspace ALT

[Andrey Rahmatullin]

On Tue, Mar 11, 2008 at 08:58:07AM +0200, Eugene Ostapets wrote:
> Это ты о человеке, который получив право собирать библиотеку, так и не
> собрался с силами починить сборку на x86_64 за год?
Это я о человеке, который раскладывает файлы по подпакетам от балды даже
спустя год после того, как ему показали правильный спек.

> Давай каждый будет делать то, что может
Ну вот у меня сомнения, что этот человек "может".

> а остальные вместо кидания какашками, будут помогать по мере
> возможностей...
Зачем, если баги игнорируются?

Re: [devel] SELinux в ядрах и userspace ALT

[Konstantin A. Lepikhov]

[-- Attachment #1: Type: text/plain, Size: 811 bytes --]

Hi Михаил!

Tuesday 11, at 12:06:20 AM you wrote:

> А вот xen c ovz перетачивают ядро сильно, следовательно хотя бы сочетание 
> этих двух пачей может привести к странным последствиям.
> А если там включить SEL то вообще фиг знает чем это закончиться, они 
> банально могут подраться с ovz потому что изменяют провидение примерно 
> одних мест.
с ovz не будет работать в-приниципе, поскольку это другая модель
безопасности.

> Хотя насколько я понял SE любят в RedHat, да и xen следовательно сочетание 
> sel+xen они как минимум теститли, а vz туда сами vzники приложили сверху, и 
> видимо тоже проверяли. Вобщем на это стоит посмотреть.
> А вот как на это всё влияет rsbac для меня загадка, потому что даже не 
> смотрел ещё.
Советую смотреть дальше и не махать шашками.

-- 
WBR et al.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] SELinux в ядрах и userspace ALT

[Denis Medvedev]

В RHEL Selinux + Xen работает. Ovz там нет.
-----Original Message-----
From: "Konstantin A. Lepikhov" <lakostis@altlinux.org>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Date: Tue, 11 Mar 2008 23:43:56 +0300
Subject: Re: [devel]SELinux в ядрах и userspace ALT

> Hi Михаил!
> 
> Tuesday 11, at 12:06:20 AM you wrote:
> 
> > А вот xen c ovz перетачивают ядро сильно, следовательно хотя бы сочетание 
> > этих двух пачей может привести к странным последствиям.
> > А если там включить SEL то вообще фиг знает чем это закончиться, они 
> > банально могут подраться с ovz потому что изменяют провидение примерно 
> > одних мест.
> с ovz не будет работать в-приниципе, поскольку это другая модель
> безопасности.
> 
> > Хотя насколько я понял SE любят в RedHat, да и xen следовательно сочетание 
> > sel+xen они как минимум теститли, а vz туда сами vzники приложили сверху, и 
> > видимо тоже проверяли. Вобщем на это стоит посмотреть.
> > А вот как на это всё влияет rsbac для меня загадка, потому что даже не 
> > смотрел ещё.
> Советую смотреть дальше и не махать шашками.
> 
> -- 
> WBR et al.
> 
> ATTACHMENT: application/pgp-signature (signature.asc)
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel