[Sysadmins] rsbac_selinux_etc

[Sysadmins] rsbac_selinux_etc

[andriy]

Hi,community!

Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux, 
grsecurity и похожие.
Что проще всего поднимается? что надёжнее всего? разработка чего сейчас 
не приостановлена?
Для чего нужно:
1 задача - для преподавания студентам, как пример - показывать как 
практически реализовать "Оранжевую книгу"
2 задача - организация защищенного сервера (файл, www), возможно рабочих 
мест небольшой организации.

Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и SELinux.
Система: ALT Server 4.0 и ALT Branch 4.1.

Что советуете читать?

Спасибо.

Re: [Sysadmins] rsbac_selinux_etc

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 690 bytes --]

andriy <l.andriy-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org> writes:

> Hi,community!
>
> Интересует мнение людей которое пробовали такие вещи как RSBAC,
> SELinux, grsecurity и похожие.
> Что проще всего поднимается? что надёжнее всего? разработка чего
> сейчас не приостановлена?
Учитывая, что активно поддерживается разработка только у SELinux
(американцы кучу денег вбухали) то он видимо самый живой... он же в
FC/RHEL используется.

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [Sysadmins] rsbac_selinux_etc

[Anton Kvashin]

andriy пишет:

> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux, 
> grsecurity и похожие.
> Что проще всего поднимается? 

Selinux идет в инсталляции RedHat, Apparmor в Ubuntu (с теми что 
приходилось сталкиваться). Еще есть Solaris Trusted Extensions (работал 
в gui), Солярка.

В selinux есть набор базовых политик, из того что требовало определенных 
действий/изучения: хостинг, не запускался clamav, работа скриптов php. 
Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс 
(не пробовал).

Apparmor показался более прост в настройке, но читал на opennet, что его 
  не развивают.

> что надёжнее всего? 

выключить сервер ;)

> Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и 
> SELinux.
> Что советуете читать?

http://www.markelov.net/

-- 
Anton Kvashin

Re: [Sysadmins] rsbac_selinux_etc

[Sergey Shilov]

В сообщении от 7 ноября 2008 Anton Kvashin написал:

> Apparmor показался более прост в настройке, но читал на opennet, что его 
>   не развивают.
В OpenSUSE SLED SLES - Apparmor  штатное средство.
ИМХО совсем не бросят, т.к. спонсоры весьма серьезные.
 
---
С уважением
С.Шилов

Re: [Sysadmins] rsbac_selinux_etc

[Konstantin A. Lepikhov]

Hi Anton!

Friday 07, at 04:36:46 PM you wrote:

> andriy пишет:
> 
> > Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux, 
> > grsecurity и похожие.
> > Что проще всего поднимается? 
> 
> Selinux идет в инсталляции RedHat, Apparmor в Ubuntu (с теми что 
> приходилось сталкиваться). Еще есть Solaris Trusted Extensions (работал 
> в gui), Солярка.
> 
> В selinux есть набор базовых политик, из того что требовало определенных 
> действий/изучения: хостинг, не запускался clamav, работа скриптов php. 
> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс 
> (не пробовал).
Как давно вы смотрели на SELinux?

> 
> Apparmor показался более прост в настройке, но читал на opennet, что его 
>   не развивают.
Apparmor is dead.

-- 
WBR et al.

Re: [Sysadmins] rsbac_selinux_etc

[Sergey Shilov]

В сообщении от 6 ноября 2008 andriy написал:
> 
> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux, 
Немного интересовался.

> Что проще всего поднимается? 
Без бубна ничего.

> что надёжнее всего? 
то, что поднялось.
В плане безопасности скорее SELinux, хотя все сильно зависит от политик.

> Система: ALT Server 4.0 и ALT Branch 4.1.
Ни RSBAC, ни SELinux в коробке вроде не лежат.

Для внедрения SELinux нужны:
1. Соотв. kernel
2. Компоненты SELinux
3. Компоненты (libc..., binutils, pam, ssh и т.д. и т.п.) понимающие  SELinux
4. Правильные (Ваши, а не базовые) политики безопасности.
В ALT есть 1, 2 и частично 3.
В RH-FC есть 1-3  и частично 4 ( последнее с MLS за большие деньги).
 
> Что советуете читать?
+ к прочитанному заглянуть на
http://www.nsa.gov/selinux/index.cfm

---
С уважением
С.Шилов

Re: [Sysadmins] rsbac_selinux_etc

[andriy]

Sergey Shilov написав(ла):
> В сообщении от 6 ноября 2008 andriy написал:
>   
>> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux, 
>>     
> Немного интересовался.
>   
А на какие советуете обратить внимание?

>> Система: ALT Server 4.0 и ALT Branch 4.1.
>>     
> Ни RSBAC, ни SELinux в коробке вроде не лежат.
>
> Для внедрения SELinux нужны:
> 1. Соотв. kernel
> 2. Компоненты SELinux
> 3. Компоненты (libc..., binutils, pam, ssh и т.д. и т.п.) понимающие  SELinux
> 4. Правильные (Ваши, а не базовые) политики безопасности.
> В ALT есть 1, 2 и частично 3.
> В RH-FC есть 1-3  и частично 4 ( последнее с MLS за большие деньги).
>  
>   
>> Что советуете читать?
>>     
> + к прочитанному заглянуть на
> http://www.nsa.gov/selinux/index.cfm
>   
Спасибо - буду пробовать.

Re: [Sysadmins] rsbac_selinux_etc

[Sergey Shilov]

On Friday 07 November 2008 23:16:26 andriy wrote:
> Sergey Shilov написав(ла):
> > В сообщении от 6 ноября 2008 andriy написал:
> >> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux,
> >
> > Немного интересовался.
>
> А на какие советуете обратить внимание?
Исключительно академически, возможно стоит подробнее изучить SELinux, как 
пример реализации административного управления доступом в системах с 
параноидальными требованиями к безопасности (разработка АНБ США), но в АЛЬТ 
SELinux не реализован в том объеме, который позволит сосредоточиться на 
процессе изучения. 
Если Вы не работаете в госсекторе и не связаны требованиями нормативной базы 
по защите информации, то скорее всего Вам средства расширения безопасности 
в -НИКС системах не понадобятся вообще.
При этом, разработчиками  АЛЬТ комплексу вопросов обеспечения безопасности 
уделяется достаточно много внимания. Как результат, мы имеем достаточно 
защищенную ОС (что подтверждено документально эспертами в данной области).
Просто обратите внимание на систему.

-- 
С уважением
Сергей Шилов.

Re: [Sysadmins] rsbac_selinux_etc

[Konstantin A. Lepikhov]

Hi Sergey!

Saturday 08, at 12:22:02 AM you wrote:

> > А на какие советуете обратить внимание?
> Исключительно академически, возможно стоит подробнее изучить SELinux, как 
> пример реализации административного управления доступом в системах с 
> параноидальными требованиями к безопасности (разработка АНБ США), но в АЛЬТ 
> SELinux не реализован в том объеме, который позволит сосредоточиться на 
> процессе изучения. 
бред. требования АНБ лишь частично отражены в SELinux. Читайте CC или
"Радужную книгу" до просветления %)

> Если Вы не работаете в госсекторе и не связаны требованиями нормативной базы 
> по защите информации, то скорее всего Вам средства расширения безопасности 
> в -НИКС системах не понадобятся вообще.
> При этом, разработчиками  АЛЬТ комплексу вопросов обеспечения безопасности 
> уделяется достаточно много внимания. Как результат, мы имеем достаточно 
> защищенную ОС (что подтверждено документально эспертами в данной области).
> Просто обратите внимание на систему.
Ставьте Windows и не парьтесь, уж там-то все требования АНБ соблюдены %) 

-- 
WBR et al.

Re: [Sysadmins] rsbac_selinux_etc

[foo]

Цитирую "Konstantin A. Lepikhov":

>> В selinux есть набор базовых политик, из того что требовало определенных
>> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
>> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
>> (не пробовал).
> Как давно вы смотрели на SELinux?

Несколько лет назад, когда на RH ES4 разворачивали public_html и одну  
CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.

-- 
Anton Kvashin

Re: [Sysadmins] rsbac_selinux_etc

[Konstantin A. Lepikhov]

Hi foo!

Saturday 08, at 11:50:25 PM you wrote:

> Цитирую "Konstantin A. Lepikhov":
> 
> >> В selinux есть набор базовых политик, из того что требовало определенных
> >> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
> >> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
> >> (не пробовал).
> > Как давно вы смотрели на SELinux?
> 
> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну  
> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
Значит, ваши данные порядком устарели.

-- 
WBR et al.

Re: [Sysadmins] rsbac_selinux_etc

[Konstantin A. Lepikhov]

Hi andriy!

Thursday 06, at 11:44:40 PM you wrote:

> Hi,community!
> 
> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux, 
> grsecurity и похожие.
Как вы можете смешивать такие вещи как SELinux и grsecurity? :)

> Что проще всего поднимается? что надёжнее всего? разработка чего сейчас 
> не приостановлена?
> Для чего нужно:
> 1 задача - для преподавания студентам, как пример - показывать как 
> практически реализовать "Оранжевую книгу"
для преподавания надо самому понять теорию. Вы смешиваете такие вещи как
аудит и защищенная система.

> 2 задача - организация защищенного сервера (файл, www), возможно рабочих 
> мест небольшой организации.
OpenVZ и никаких гвоздей.

> 
> Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и SELinux.
> Система: ALT Server 4.0 и ALT Branch 4.1.
> 
> Что советуете читать?
Читать для чего? Для преподавания или для защиты? :)

-- 
WBR et al.

Re: [Sysadmins] rsbac_selinux_etc

[andriy]

Konstantin A. Lepikhov написав(ла):
> Hi andriy!
>
> Thursday 06, at 11:44:40 PM you wrote:
>
>   
>> Hi,community!
>>
>> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux, 
>> grsecurity и похожие.
>>     
> Как вы можете смешивать такие вещи как SELinux и grsecurity? :)
>   
О  grsecurity вообще практически ничего не знаю. Только из результатов 
гугления RSBAC vs SE Linux.
Потому и в рассылку написал.
Пока читал статьи о RSBAC  и SE Linux (из альта документация + статьи).
Сейчас буду пробовать на практике SE Linux что бы попробовать разобраться.
>   
>> Что проще всего поднимается? что надёжнее всего? разработка чего сейчас 
>> не приостановлена?
>> Для чего нужно:
>> 1 задача - для преподавания студентам, как пример - показывать как 
>> практически реализовать "Оранжевую книгу"
>>     
> для преподавания надо самому понять теорию. Вы смешиваете такие вещи как
> аудит и защищенная система.
>   
Теперь буду знать. С теорией знакомлюсь.
Есть концепция - она в "оранжевой книге", есть конкретное 
законодательство - как реализация концепции.
Но это требования. А на чем реализовывать систему, как пример думаю.
Потому и спрашиваю.
Как мне кажется прежде чем кого-то чему то учить нужно самому научиться 
и понять, что сейчас и делаю.
>> 2 задача - организация защищенного сервера (файл, www), возможно рабочих 
>> мест небольшой организации.
>>     
> OpenVZ и никаких гвоздей.
>   
Согласен.  Но интересует SE Linux.

>   
>> Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и SELinux.
>> Система: ALT Server 4.0 и ALT Branch 4.1.
>>
>> Что советуете читать?
>>     
> Читать для чего? Для преподавания или для защиты? :)
>   
Для первого и второго.

Re: [Sysadmins] rsbac_selinux_etc

[Anton Kvashin]

Цитирую "Konstantin A. Lepikhov":

>> Цитирую "Konstantin A. Lepikhov":
>>
>> >> В selinux есть набор базовых политик, из того что требовало определенных
>> >> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
>> >> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
>> >> (не пробовал).
>> > Как давно вы смотрели на SELinux?
>>
>> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
>> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
> Значит, ваши данные порядком устарели.

Конкретика? Интересно услышать современную точку зрения.

-- 
Anton Kvashin

Re: [Sysadmins] rsbac_selinux_etc

[Konstantin A. Lepikhov]

Hi andriy!

Sunday 09, at 01:05:04 AM you wrote:

> Konstantin A. Lepikhov написав(ла):
> > Hi andriy!
> >
> > Thursday 06, at 11:44:40 PM you wrote:
> >
> >   
> >> Hi,community!
> >>
> >> Интересует мнение людей которое пробовали такие вещи как RSBAC, SELinux, 
> >> grsecurity и похожие.
> >>     
> > Как вы можете смешивать такие вещи как SELinux и grsecurity? :)
> >   
> О  grsecurity вообще практически ничего не знаю. Только из результатов 
> гугления RSBAC vs SE Linux.
> Потому и в рассылку написал.
> Пока читал статьи о RSBAC  и SE Linux (из альта документация + статьи).
> Сейчас буду пробовать на практике SE Linux что бы попробовать разобраться.
Чтобы смотреть на SELinux надо ставить либо RHEL, либо FC. В ALTLinux
SELinux нет.

> >   
> >> Что проще всего поднимается? что надёжнее всего? разработка чего сейчас 
> >> не приостановлена?
> >> Для чего нужно:
> >> 1 задача - для преподавания студентам, как пример - показывать как 
> >> практически реализовать "Оранжевую книгу"
> >>     
> > для преподавания надо самому понять теорию. Вы смешиваете такие вещи как
> > аудит и защищенная система.
> >   
> Теперь буду знать. С теорией знакомлюсь.
> Есть концепция - она в "оранжевой книге", есть конкретное 
> законодательство - как реализация концепции.
"Оранжевая книга" - это вообще-то часть "Радужной серии". Т.е. для
понимания нужно прочитать все-таки больше, чем одну часть.

> Но это требования. А на чем реализовывать систему, как пример думаю.
> Потому и спрашиваю.
> Как мне кажется прежде чем кого-то чему то учить нужно самому научиться 
> и понять, что сейчас и делаю.
> >> 2 задача - организация защищенного сервера (файл, www), возможно рабочих 
> >> мест небольшой организации.
> >>     
> > OpenVZ и никаких гвоздей.
> >   
> Согласен.  Но интересует SE Linux.
Интересно, что вы подразумеваете под "защитой рабочих мест небольшой
организации" :)

> 
> >   
> >> Конечно хочу сначала сам разобраться. Документацию читал по RSBAC и SELinux.
> >> Система: ALT Server 4.0 и ALT Branch 4.1.
> >>
> >> Что советуете читать?
> >>     
> > Читать для чего? Для преподавания или для защиты? :)
> >   
> Для первого и второго.
И для первого, и для второго нужно менять дистрибутив :)

-- 
WBR et al.

Re: [Sysadmins] rsbac_selinux_etc

[Konstantin A. Lepikhov]

Hi Anton!

Sunday 09, at 10:40:12 AM you wrote:

> Цитирую "Konstantin A. Lepikhov":
> 
> >> Цитирую "Konstantin A. Lepikhov":
> >>
> >> >> В selinux есть набор базовых политик, из того что требовало определенных
> >> >> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
> >> >> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
> >> >> (не пробовал).
> >> > Как давно вы смотрели на SELinux?
> >>
> >> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
> >> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
> > Значит, ваши данные порядком устарели.
> 
> Конкретика? Интересно услышать современную точку зрения.
Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
нормально. Кол-во написанных policy там хватает для запуска не только
clamav но и других, не менее важных вещей.

-- 
WBR et al.

Re: [Sysadmins] rsbac_selinux_etc

[Anton Kvashin]

Konstantin A. Lepikhov пишет:

>>>> Цитирую "Konstantin A. Lepikhov":
>>>>>> В selinux есть набор базовых политик, из того что требовало определенных
>>>>>> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
>>>>>> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
>>>>>> (не пробовал).
>>>>> Как давно вы смотрели на SELinux?
>>>> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
>>>> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
>>> Значит, ваши данные порядком устарели.
>> Конкретика? Интересно услышать современную точку зрения.
> Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
> нормально. Кол-во написанных policy там хватает для запуска не только
> clamav но и других, не менее важных вещей.

Из коробки не хочет:

Linux 2.6.18-92.1.17.el5 #1 SMP

Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't 
open directory /var/clamav ERROR: Unable to open file or directory

setroubleshoot: SELinux is preventing clamd..

Clamav собран dagweer'ом, selinux предлагает restorecon (не помогает), 
или создать локальную политику (не пробовал).

-- 
Anton Kvashin

Re: [Sysadmins] rsbac_selinux_etc

[Konstantin A. Lepikhov]

Hi Anton!

Monday 10, at 11:27:46 AM you wrote:

> Konstantin A. Lepikhov пишет:
> 
> >>>> Цитирую "Konstantin A. Lepikhov":
> >>>>>> В selinux есть набор базовых политик, из того что требовало определенных
> >>>>>> действий/изучения: хостинг, не запускался clamav, работа скриптов php.
> >>>>>> Логи расскажут, если что-то очевидное не работает. Есть gui-интерфейс
> >>>>>> (не пробовал).
> >>>>> Как давно вы смотрели на SELinux?
> >>>> Несколько лет назад, когда на RH ES4 разворачивали public_html и одну
> >>>> CMS. Позже на CentOS 5, clamav при запуске не мог читать /var/clamav.
> >>> Значит, ваши данные порядком устарели.
> >> Конкретика? Интересно услышать современную точку зрения.
> > Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
> > нормально. Кол-во написанных policy там хватает для запуска не только
> > clamav но и других, не менее важных вещей.
> 
> Из коробки не хочет:
> 
> Linux 2.6.18-92.1.17.el5 #1 SMP
> 
> Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't 
> open directory /var/clamav ERROR: Unable to open file or directory
> 
> setroubleshoot: SELinux is preventing clamd..
Так если нет policy, то и не будет. Что говорит semodule -l ?

> 
> Clamav собран dagweer'ом, selinux предлагает restorecon (не помогает), 
> или создать локальную политику (не пробовал).
А вы попробуйте -
http://lists.rpmforge.net/pipermail/users/2007-July/000875.html
или более общий подход:
http://stewpid-litterbox.blogspot.com/2008/01/create-selinux-policy-from-audit2allow.html

-- 
WBR et al.

Re: [Sysadmins] rsbac_selinux_etc

[Anton Kvashin]

Konstantin A. Lepikhov пишет:
>> Konstantin A. Lepikhov пишет:
>>
>>>>> Значит, ваши данные порядком устарели.
>>>> Конкретика? Интересно услышать современную точку зрения.
>>> Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
>>> нормально. Кол-во написанных policy там хватает для запуска не только
>>> clamav но и других, не менее важных вещей.
>> Из коробки не хочет:
>>
>> Linux 2.6.18-92.1.17.el5 #1 SMP
>>
>> Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't 
>> open directory /var/clamav ERROR: Unable to open file or directory
>>
>> setroubleshoot: SELinux is preventing clamd..
> Так если нет policy, то и не будет. 

Выше вы написали о достаточности существующих политик.

Конечно, работа администратора состоит не из действий установил и сразу 
все заработало, но с clamav этого хотелось бы (многие его юзают). С 
Apparmor таких проблем нет, хоть он и не развивается (в убунте 8.10 он 
на борту).

Сейчас selinux стал более информативным (отправляет в FAQ, описывает что 
не так, это здорово), раньше этого не было.

>> Clamav собран dagweer'ом, selinux предлагает restorecon (не помогает), 
>> или создать локальную политику (не пробовал).
> А вы попробуйте -
> http://lists.rpmforge.net/pipermail/users/2007-July/000875.html
> или более общий подход:
> http://stewpid-litterbox.blogspot.com/2008/01/create-selinux-policy-from-audit2allow.html

Clamav запускается, но не стартапом (вот моя проблема). Была замечена 
проблема с /var/spool, вобщем есть над чем работать ;)

-- 
Anton Kvashin

Re: [Sysadmins] rsbac_selinux_etc

[Konstantin A. Lepikhov]

Hi Anton!

Monday 10, at 03:18:33 PM you wrote:

> Konstantin A. Lepikhov пишет:
> >> Konstantin A. Lepikhov пишет:
> >>
> >>>>> Значит, ваши данные порядком устарели.
> >>>> Конкретика? Интересно услышать современную точку зрения.
> >>> Конкретика состоит в том, что в RHEL5 или FC SELinux работает вполне
> >>> нормально. Кол-во написанных policy там хватает для запуска не только
> >>> clamav но и других, не менее важных вещей.
> >> Из коробки не хочет:
> >>
> >> Linux 2.6.18-92.1.17.el5 #1 SMP
> >>
> >> Starting Clam AntiVirus Daemon: LibClamAV Error: cli_loaddbdir(): Can't 
> >> open directory /var/clamav ERROR: Unable to open file or directory
> >>
> >> setroubleshoot: SELinux is preventing clamd..
> > Так если нет policy, то и не будет. 
> 
> Выше вы написали о достаточности существующих политик.
В FC эти политики есть. А что вы скачали clamav из левого репозитория и
что об этом SELinux должен был автомагически догадаться не кажется вам
странным?

> 
> Конечно, работа администратора состоит не из действий установил и сразу 
> все заработало, но с clamav этого хотелось бы (многие его юзают). С 
> Apparmor таких проблем нет, хоть он и не развивается (в убунте 8.10 он 
> на борту).
apparmor is dead :)

> 
> Сейчас selinux стал более информативным (отправляет в FAQ, описывает что 
> не так, это здорово), раньше этого не было.
> 
> >> Clamav собран dagweer'ом, selinux предлагает restorecon (не помогает), 
> >> или создать локальную политику (не пробовал).
> > А вы попробуйте -
> > http://lists.rpmforge.net/pipermail/users/2007-July/000875.html
> > или более общий подход:
> > http://stewpid-litterbox.blogspot.com/2008/01/create-selinux-policy-from-audit2allow.html
> 
> Clamav запускается, но не стартапом (вот моя проблема). Была замечена 
> проблема с /var/spool, вобщем есть над чем работать ;)
Ровно то же самое можно сказать и про clamav ;) 

-- 
WBR et al.

Re: [Sysadmins] rsbac_selinux_etc

[Maxim Tyurin]

andriy writes:

> Hi,community!
>
> Интересует мнение людей которое пробовали такие вещи как RSBAC,
> SELinux, grsecurity и похожие.
> Что проще всего поднимается? что надёжнее всего? разработка чего
> сейчас не приостановлена?

grsecurity из другой оперы.

RSBAC настраивать легче. SE более распространен.
В ALTLinux нет ни того, ни другого.

Разработка обоих проектов ведется.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

Re: [Sysadmins] rsbac_selinux_etc

[Anton Kvashin]

Konstantin A. Lepikhov пишет:
>>>> setroubleshoot: SELinux is preventing clamd..
>>> Так если нет policy, то и не будет. 
>> Выше вы написали о достаточности существующих политик.
> В FC эти политики есть. А что вы скачали clamav из левого репозитория и
> что об этом SELinux должен был автомагически догадаться не кажется вам
> странным?

Пакет взят по ссылкам с официального сайта clamav, в RH-репо его нет. 
Посмотрим спек из федоры, политики ;)

-- 
Anton Kvashin