On Mon, Aug 30, 2010 at 03:30:40PM +0400, Alexey Gladkov wrote:
> 30.08.2010 15:16, Mikhail Efremov wrote:
> >> Здесь мы возвращаем -1. Зачем тут -1, почему не goto out; ?
> > 
> > Потому что на самом деле неизвестно, включен ли SELinux. И решать что
> 
> Без смонтированого /proc selinux работать будет ?

Вопрос не в том, будет ли работать SELinux, а в том, будет ли работать
приложение с SELinux.

> > делать должен вызывающий код, эта функция не должна принимать таких
> > решений.
> 
> Вот это сильно спорно. Вызывающий код имеет ещё меньше представлений о
> том, что делать дальше. Когда is_selinux_enabled() вернул -1, то это
> не значит что SELinux выключен (вы сами про это говорите), но и не
> значит, что включён.

Это означает, что приложение не может работать с SELinux.

> Сейчас делается упор, что
> 
> if (!is_selinux_enabled())
> 
> неправильная обработка и нужно расценивать -1 как 0 ... но это тоже
> неправильно, так как решение отдано на откуп приложения. Если -1 нужно
> расценивать как 0, то так и нужно возвращать.

Есть некоторые приложения, которые могут отличать эти две ситуации
(выключен или недоступен), но большинству приложений должно быть всё
равно.


-- 
ldv