The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В ядре Linux убрали упоминание связи SELinux с АНБ"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от opennews (ok), 30-Авг-23, 12:01 
В кодовую базу, на основе которой будет сформирован выпуск ядра Linux 6.6, передано изменение, убирающие упоминание Агентства национальной безопасности США из опций, связанных с включением системы принудительного контроля доступа SELinux. Механизм SELinux  был разработан АНБ, включён в состав ядра Linux в 2003 году и используется во многих дистрибутивах Linux, включая Fedora и Red Hat Enterprise Linux. Вопреки спекуляциям о возможном внесении закладок, реализация SELinux была многократно проверена и подвергнута независимому аудиту...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59685

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +27 +/
Сообщение от ryoken (ok), 30-Авг-23, 12:01 
Важнейший фикс, очевидно.
Ответить | Правка | Наверх | Cообщить модератору

88. Скрыто модератором  +5 +/
Сообщение от Аноним (-), 31-Авг-23, 04:00 
Ответить | Правка | Наверх | Cообщить модератору

2. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +5 +/
Сообщение от dullish (ok), 30-Авг-23, 12:03 
Не спрашивай, не говори.
Ответить | Правка | Наверх | Cообщить модератору

80. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +2 +/
Сообщение от Аноним (80), 30-Авг-23, 22:31 
Это про другое.
Ответить | Правка | Наверх | Cообщить модератору

3. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –4 +/
Сообщение от DeerFriend (?), 30-Авг-23, 12:05 
Разве федора и рхел не одно и то же?
Ответить | Правка | Наверх | Cообщить модератору

6. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +13 +/
Сообщение от Аноним (6), 30-Авг-23, 12:09 
воспользуйся функцией strcmp(), чтобы узнать, являются ли "федора" и "рхел" одним и тем же
Ответить | Правка | Наверх | Cообщить модератору

7. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –1 +/
Сообщение от Аноним (7), 30-Авг-23, 12:11 
Нет, не одно и то же
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

24. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +5 +/
Сообщение от Аноним (24), 30-Авг-23, 13:02 
> Разве федора и рхел не одно и то же?

Нет, Fedora это R&D площадка для обкатки всяких идей, которые возможно войдут в готовый полноценный интепрайзный продукт для белых людей.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

75. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от Аноним (75), 30-Авг-23, 18:27 
Разве "белых людей" интересуют такие мелочи производственного процесса? )
Ответить | Правка | Наверх | Cообщить модератору

81. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (80), 30-Авг-23, 22:33 
Нет, Федора контролируется сообществом, и решения принимает специальный комитет из избранных сообществом людей.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

125. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от псевдонимус (?), 05-Сен-23, 20:02 
Естественно Федора часть рэдхель и айбиэм
Ответить | Правка | Наверх | Cообщить модератору

114. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (114), 01-Сен-23, 09:04 
Это ты так длинно сказал "Fedora -- глюкодром редхата"?
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

126. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от псевдонимус (?), 05-Сен-23, 20:03 
Да, именно это.
Ответить | Правка | Наверх | Cообщить модератору

4. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от InuYasha (??), 30-Авг-23, 12:06 
Как будто это секрет - что селинукс разработали ТАМ.
Но, спасибо, что напомнили. Пусть неофиты поморфируют )
Ответить | Правка | Наверх | Cообщить модератору

9. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (7), 30-Авг-23, 12:13 
А человеческим языком - кто такие неофиты?
Ответить | Правка | Наверх | Cообщить модератору

11. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +5 +/
Сообщение от ryoken (ok), 30-Авг-23, 12:14 
Новички.
Ответить | Правка | Наверх | Cообщить модератору

13. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от Аноним (7), 30-Авг-23, 12:17 
А что означает морфировать? Верно ли я нашёл определение? плавно преобразовывать один объект в другой
Ответить | Правка | Наверх | Cообщить модератору

14. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +16 +/
Сообщение от Аноним (14), 30-Авг-23, 12:21 
Не надо задумываться над шизофазией.
Ответить | Правка | Наверх | Cообщить модератору

28. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от Аноним (28), 30-Авг-23, 13:10 
Морфирование было популярно в начале 20 века, теперь другие *цензура*. Вероятно, просто название сохранилось.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

45. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –2 +/
Сообщение от Аноним (14), 30-Авг-23, 13:59 
Я не знаю что он делает, возможно соль-ирует,
Автор скромно умолчал что является автором  Half-Life XDM
https://www.youtube.com/watch?v=D9_5bXtrfP4
Ответить | Правка | Наверх | Cообщить модератору

60. Скрыто модератором  +/
Сообщение от Аноним (-), 30-Авг-23, 15:58 
Ответить | Правка | Наверх | Cообщить модератору

57. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от InuYasha (??), 30-Авг-23, 15:47 
Разве латынь и греческий сейчас даже бегло уже не преподают? Прескорбно.
Ну, а как ещё в культурном обществе выражаться? Не скажешь же "новички охреневают". )
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

79. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от dannyD (?), 30-Авг-23, 22:07 
>>кто такие неофиты?

буквально: "вновь обращённые".

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –2 +/
Сообщение от ryoken (ok), 30-Авг-23, 12:13 
Я вам более того скажу - AES-NI тоже одно из порождений АНБ. Не сам алгоритм, но вариант реализации. В своё время приняли Rijndael, и вот его уже назвали AES-NI. Одним из конкурентов был Serpent, я думаю лучше им пользоваться :). На современных процах за счёт других инструкций работает.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

76. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +2 +/
Сообщение от гага (?), 30-Авг-23, 19:24 
AES-NI это набор инструкций в камне предложенный и впервые реализованный интелем, причем тут анб? анб и к "просто AES" никакого отношения не имеет так-то
Ответить | Правка | Наверх | Cообщить модератору

112. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (-), 01-Сен-23, 08:24 
> Я вам более того скажу - AES-NI тоже одно из порождений АНБ.
> Не сам алгоритм, но вариант реализации. В своё время приняли Rijndael,
> и вот его уже назвали AES-NI. Одним из конкурентов был Serpent,
> я думаю лучше им пользоваться :). На современных процах за счёт
> других инструкций работает.

Справедливости ради - на него такого уж прямо серьезного криминала за столько лет криптографы так и не нашли. Хотя искали и неслабо.

А так лучше вообще salsa или chacha пользоваться. У них пофикшены тайминг-атаки характерные дла AES и подобных дизайнов с S-box и подобными таблицами, что на современных процах велет к жестким утечкам таймингов операций и данных внешнему софту. Это конечно из разряда мельдониев и спектров почти - но в мире с виртуалками и контейнерами это не пустое соображение. Прошареные криптографы вот как раз предусмотрели подобные атаки еще 10+ лет назад понимая важность завершения всех операций за константное время независимо от ключей и данных. Профессиональная паранойя их не подвела.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

49. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +3 +/
Сообщение от Аноним (49), 30-Авг-23, 14:54 
Теперь будет секрет. Через пару лет только олды будут помнить, а еще через десяток только археологи.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +14 +/
Сообщение от Аноним (5), 30-Авг-23, 12:09 
Но это прямое нарушение GPL! Пофиг кто, но АНБ автор кода и вытирать упоминание о нем - это нарушение лицензии.
Ответить | Правка | Наверх | Cообщить модератору

8. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +2 +/
Сообщение от ilyafedin (ok), 30-Авг-23, 12:12 
Внутри кода наверняка все копирайты есть
Ответить | Правка | Наверх | Cообщить модератору

59. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (-), 30-Авг-23, 15:56 
разве там не что старое в комментариях, что новое? т.е. для кода вообще без разницы
Ответить | Правка | Наверх | Cообщить модератору

31. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –4 +/
Сообщение от Аноним (28), 30-Авг-23, 13:13 
Ты путаешь с трёхкляузной BSD. GPL только требует распространять производное под ней же.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

53. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (53), 30-Авг-23, 15:06 
Если код переписан и тем более есть согласие автора то можно удалять. Тем более тут такое дело что сам автор сказал кому надо убрать.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

58. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от Аноним (58), 30-Авг-23, 15:52 
На мой взгляд согласие или желание автора все равно не должно приводить к удалению/изменению авторства из кода. Например, если, не к ночи помянутая Алиса, добавит вредоносный код, а потом попросит удалить упоминания о своем авторстве, то так она затруднит сообщесту поиск злодея и соответствующую реакцию. Ну, или наговноконив по джунке, некоторые сениоры захотят скрыть этот факт от потомков ;)
И даже если ни строчки от кода трехбуквенной конторы не осталось, покуда это называется SELinux, первоначальный автор упомянут должен быть!
Ответить | Правка | Наверх | Cообщить модератору

65. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от по (?), 30-Авг-23, 16:39 
а может еще набивать татуировки номеров cve, критичные на лоб, не критичные еще куда, а если место кончится то в крематорий отвозить?
Ответить | Правка | Наверх | Cообщить модератору

82. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (82), 30-Авг-23, 23:10 
Как бы помягче сказать о важности и ценности твоего взгляда? Nobody cares, наверное.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

12. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –2 +/
Сообщение от InuYasha (??), 30-Авг-23, 12:16 
Вообще в линуксе зоопарк этих праворазграничений удручает. И ни один из них не обладает балансом удобства и функциональности. Пробовал всё от шмод "три семёрки" и setfacl до selinux и эмуляции прав в samba. Впрочем, в других подсистемах тоже не всегда лучше.
Ответить | Правка | Наверх | Cообщить модератору

18. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (18), 30-Авг-23, 12:40 
Теперь setcap пользуйся и прекрати ныть. У них у всех разные назначения. Я бы ещё понял, если ты там apparmor с selinux сравнивал, хотя это тоже разные вещи.
Ответить | Правка | Наверх | Cообщить модератору

62. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (-), 30-Авг-23, 16:05 
права на файлы - тоже часть селинукс, если что
Ответить | Правка | Наверх | Cообщить модератору

113. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (-), 01-Сен-23, 08:29 
> Вообще в линуксе зоопарк этих праворазграничений удручает. И ни один из них
> не обладает балансом удобства и функциональности. Пробовал всё от шмод "три
> семёрки" и setfacl до selinux и эмуляции прав в samba. Впрочем,
> в других подсистемах тоже не всегда лучше.

...поэтому люди в здравом уме просто пользуются контейнерами и виртуалками, достигая сравнимого разделения границ с куда меньшим гимором. Прости чувак но если ты прошибешь этот браузер то получишь доступ аж в Downloads браузера. А зачем браузеру больше? А если ты вдруг пробьешь контейнер - ну, ок, вот тебе пустая виртуалочка. Так и быть можешь пошариться в ее довольно пустой системе. Но ценнее Downloads браузера в ней таки ничего нет. Зато сколько траха атакующему. При том что защищаюшейся стороне почти ничего делать не надо.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

117. "О безопасности в OS."  +/
Сообщение от Аноним (117), 02-Сен-23, 09:23 
Факт: ~99% всей безопасности современных OS сформулирована в конце 1960-тых годов, ~60 лет назад и с тех пор (кроме: ASLR, CAP, мат верификация, крыптухи, изоляция ядра от железа https://muen.sk/ ) ничего не добавилось.

Все современные OS основаны на теории безопасности 1960-тых и её надо всем строго соблюдать.

DAC - необходим всем (C1-C2: UNIX).
MAC - опционален, дополнительная защита с помощью изоляции компонентов системы (некоторые для удешевления используют виртуализацию) (B1-B2: MULTICS).
CAP - новая техника ограничения прав root процессов сформулированная в начале 1980-тых (B3).

Виртуалки не разрабатывались как техника защиты. Виртуалки используют как технику изоляции вместо MAC для удешевления. Напоминаю, использование DAC, реализация всех требований C2 обязательно и для MAC и для дешевых технологий виртуализации.

Ответить | Правка | Наверх | Cообщить модератору

15. Скрыто модератором  –3 +/
Сообщение от Аноним (15), 30-Авг-23, 12:21 
Ответить | Правка | Наверх | Cообщить модератору

38. Скрыто модератором  –2 +/
Сообщение от Аноним (38), 30-Авг-23, 13:36 
Ответить | Правка | Наверх | Cообщить модератору

54. Скрыто модератором  +/
Сообщение от Аноним (53), 30-Авг-23, 15:07 
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

74. Скрыто модератором  +1 +/
Сообщение от ваноним (?), 30-Авг-23, 18:15 
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

100. Скрыто модератором  –1 +/
Сообщение от Аноним (15), 31-Авг-23, 10:35 
Ответить | Правка | Наверх | Cообщить модератору

16. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (14), 30-Авг-23, 12:25 
>и используется во многих дистрибутивах Linux, включая Fedora и Red Hat Enterprise Linux.

Мне теперь понятно на кого работают анонимы которые нахваливают Редхат и Федору с Гномом.
>Вопреки спекуляциям о возможном внесении закладок, реализация SELinux была многократно проверена и подвергнута независимому аудиту.

Мы всё проверили, вы ничего не докажете.
>Последние 20 лет технология развивается при активном участии сообщества и не воспринимается как разработка, контролируемая АНБ.

И вообще это разрабатывает ни какое ни АНБ а сообщество, поэтому это никакой нит бэкдор и вообще от сообщества можно.
Вопрос: в каких ядрах нету сабжа и в каких дистрибутивах используются такие ядра.

Ответить | Правка | Наверх | Cообщить модератору

22. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (15), 30-Авг-23, 12:58 
Ну чего ты тупишь? Доверять можно только самосборному ядру со своим конфигом.
Даже в Gentoo SELinux это отдельный профиль.
Так как все подражатели следуют моде, которую навятывают красные шапки считай что оно есть везде, включая андроид и хромосел.
Ответить | Правка | Наверх | Cообщить модератору

43. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (14), 30-Авг-23, 13:44 
Я слышал что в Бразилии делают форк ядра без блобов, подумал может кто-то и без сабжа собирает. Бывают же без системдэ дистрибутивы.
Ответить | Правка | Наверх | Cообщить модератору

64. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (15), 30-Авг-23, 16:20 
Ну, никто не запрещает скажем в Devuan без блобов установить либре ядро. Но если там корявые скрипты то все это будет падать требуя конкретнубю версию ядра.
Для Void вообще все равно кто что подсовывает, но свои очень старые ядра чаще всего не работают и вот собрав свое можно запустить систему так как там ядро гвоздями не приколочено.
Gentoo конечно проще в этом деле.
Я в Gentoo 3 года без селинукс проблем не заметил.
Ответить | Правка | Наверх | Cообщить модератору

127. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Васян. (?), 12-Сен-23, 17:23 
У "Деван" и так всё страшно, -- вон, в последней версии уже и multi x-session нет! А вы говорите, вообще, "без закладок"!
Ответить | Правка | Наверх | Cообщить модератору

118. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (117), 02-Сен-23, 09:33 
У меня ядро собрано без SELinux, для реализации MAC использую RBAC от GRSecurity не использующую LINUX LSM (https://en.wikibooks.org/wiki/Grsecurity/The_RBAC_System).
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

83. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от Аноним (82), 30-Авг-23, 23:12 
> Доверять можно только самосборному ядру со своим конфигом.

Не самосборному, а самонаписанному.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

67. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от по (?), 30-Авг-23, 17:21 
что за бред? а ничего что анб сильно приложились к созданию интернета в целом? и aes это от них, так не пользуйся же интернетом и процами современными

selinux, отключается, и онлайн -командой, и онбут -параметром ядра, и онмэйк отключением галочки, и федоре это его наличие побоку, можешь перепаковать initrd от дебиана, и грузить его ядро федорe, только нафига?

если анб решить украсть твой прон, им проще ssl-ключи попросить и персонально тебе подсунуть пакет с закладкой,

или ты думаешь, что проще делать закладку, на которую может случайно нарваться какой-нибудь инженер, и разтрезвонить об этом на весь мир, а потом придумывать как отмазываться, вот оно им надо?

компании обязаны, и публикуют инфу о том сколько раз, почему и куда передавали информацию, разумеется там не все. дебиан не компания конечно, и публиковать не обязан, но это не значит, что не передает он ключи pgp, для подписи пакетов, slackware точно не пердает, их там просто нет, и selinux там отключен, пользуйся

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

78. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Менеджер Антона Алексеевича (?), 30-Авг-23, 22:02 
> компании обязаны

Не обязаны. И делают это для сохранения собственной репутации и от заботы о своих клиентах.

Ответить | Правка | Наверх | Cообщить модератору

17. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (17), 30-Авг-23, 12:25 
Кто умеет его готовить?
Совместно с apparmor можно использовать?
Ответить | Правка | Наверх | Cообщить модератору

32. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (28), 30-Авг-23, 13:18 
Чем AppArmor не устраивает?
Ответить | Правка | Наверх | Cообщить модератору

37. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (17), 30-Авг-23, 13:36 
В целом то устраивает
Так речь о selinux
Ответить | Правка | Наверх | Cообщить модератору

66. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Да ну нахер (?), 30-Авг-23, 17:04 
Готовить его умеет один человек на планете https://people.redhat.com/dwalsh/ и то если жив ещё.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

68. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от по (?), 30-Авг-23, 17:28 
мануалы в интернете вполне адекватные, в целом алгоритм - перевести selinux в режим только предупреждений, запустить нужную прогу, прогнать все вариаты использования, и специальной утилитой вытащить из логов всё куда она обращалась, в специальный файл, который и будет инструкцией чего этой проге можно
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

91. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от User (??), 31-Авг-23, 07:30 
> прогнать все вариаты использования

Слово "Лопата" уже прозвучало?

Ответить | Правка | Наверх | Cообщить модератору

99. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (99), 31-Авг-23, 10:35 
Нет только еще "Закопать"
Ответить | Правка | Наверх | Cообщить модератору

90. "А apparmor?"  +/
Сообщение от Аноним (90), 31-Авг-23, 07:29 
Apparmor можно сам по себе использовать? Нормальные человеческие доки где-то существуют?

P.S. Фантазийные осиляторы с полпинка заранее лососните.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

103. "А apparmor?"  –1 +/
Сообщение от Аноним (103), 31-Авг-23, 16:20 
> Нормальные человеческие доки где-то существуют?

Человеки и безопасность - вещи несовместимые.

Ответить | Правка | Наверх | Cообщить модератору

101. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от PnD (??), 31-Авг-23, 12:42 
Можно, наверное, но х.з. зачем.
SELinux — он про "мандатный контроль доступа". Есть даже возможность включить MLS, но это для секретчиков и не моя специальность.
В "targeted"-режиме используем как ещё один уровень "доказательства владения" во всяких околоденежных историях. Если вы не можете описать куда софтина должна иметь доступ, она не будет работать как ожидается (даже если запустится).

* К сожалению, в некоторых моментах и selinux не поможет. Вот к примеру https://selinuxproject.org/page/ObjectClassesPerms
Вы знаете что запускаемое использует PCRE и по этому поводу надо (на примере астера)
"""
allow asterisk_t self:process { execmem execstack };
"""
Но, блин, теперь процесс может исполнять абы что и абы где! А не только по регуляркам ползать.
Т.е. в этом месте я конечно показал что знаю как оно там внутри крутится. Но дальше развожу руками. Приходите с эксплоитом наперевес, и… "мечты исполнятся".

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

19. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –4 +/
Сообщение от Аноним (-), 30-Авг-23, 12:41 
Что такое SELinux? Это не сарказм, я правда не знаю, что это такое и как оно работает. Я всегда при помощи chmod устанавливаю права -rxw. Мне этого хватает.

Подозреваю, что его создавали латентные вендузятники-неосиляторы из АНБ, которые копировали систему разрешений OS Windows.

Ответить | Правка | Наверх | Cообщить модератору

25. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (7), 30-Авг-23, 13:03 
Ну найти описание достаточно просто Security Enhanced Linux.
SELinux — это усовершенствование безопасности Linux, которое позволяет пользователям и администраторам лучше контролировать доступ. Доступ может быть ограничен такими переменными, как какие пользователи и приложения могут получить доступ к каким ресурсам. Эти ресурсы могут иметь форму файлов. Стандартные элементы управления доступом Linux, такие как файловые режимы (-rwxr-xr-x), могут быть изменены пользователем и приложениями, которые он запускает. И наоборот, контроль доступа SELinux определяется политикой, загруженной в систему, которая не может быть изменена небрежными пользователями или некорректно работающими приложениями.

SELinux также повышает степень детализации контроля доступа. Например, вместо того, чтобы указывать только тех, кто может читать, записывать или выполнять файл, SELinux позволяет вам указать, кто может отсоединять, только добавлять, перемещать файл и так далее. SELinux позволяет вам указать доступ ко многим ресурсам, помимо файлов, таким как сетевые ресурсы и межпроцессное взаимодействие (IPC).

А если так, от себя... то в СГА существуют некоммерческие организации (как и во многих других странах), они финансируются другими, коммерческими или государственными организациями. У каждой организации есть определённые цели, их создают специально. Часть (благородных) целей заяляется публично, а о части целей как правило не говорят. Так вот и читайте про благородные цели этого линукса - вы можете хранить конфидициальные файлы безопасно на такой бесплатной операционной системе. И АНБ тут больше не при чём - упоминание стёрли. Интересно, они сами исспользуют этот продукт производства? Хм... ну как-то так

Ответить | Правка | Наверх | Cообщить модератору

30. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (30), 30-Авг-23, 13:13 
> вы можете хранить конфидициальные файлы безопасно на такой бесплатной операционной системе

Так. Хорошо.
А в платной ОС можно хранить безопасно?

Ответить | Правка | Наверх | Cообщить модератору

33. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (28), 30-Авг-23, 13:20 
В платной ОС можно только безопасТно хранить.
Ответить | Правка | Наверх | Cообщить модератору

39. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –1 +/
Сообщение от Аноним (17), 30-Авг-23, 13:37 
Вот в чем разница то!!
Пользователи винды в полной безопасности
Ответить | Правка | Наверх | Cообщить модератору

41. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +2 +/
Сообщение от Аноним (17), 30-Авг-23, 13:40 
Нет. Он просто пишет в ворде из под винды, без шансов на ошибку
В очень безопасТной среде )
Ответить | Правка | Наверх | Cообщить модератору

93. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (93), 31-Авг-23, 08:41 
На сегодняшний день все люди пользуются продуктами производства по лицензии. В случае бесплатной ОС производитель такого продукта как правило не несёт никакой юридической ответственности. Я пользуюсь Windows в качестве настольной ОС, у неё лицензия EULA и если вы её читали, то до ужаса огромное количество конфидициальных данных отправляется в Майкрософт и если попробовать перехватить траффик - таки отправляет. По идее законодательство моей страны должно обеспечивать защиту моих прав, тем не менее ни по одному инциденту я не обращался.
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

97. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (99), 31-Авг-23, 10:30 
Иметь право и возможность его реализовать
не одно и тоже
Ответить | Правка | Наверх | Cообщить модератору

94. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (93), 31-Авг-23, 08:53 
И при покупке продукции вы фактически заключаете договор, подтвержденный чеком о приобретении продукции. Появляется сразу две стороны ответственности, потому что вам копию продукта продали по лицензии, а вы купили. А при скачивании никто ни с кем договор не заключает. Но тут интересный ньюанс - компания должна быть зарегистрирована в вашей стране чтобы можно было говорить о локальном законодательстве. И Майкрософт, кстати, в моей стране есть. Тем не менее, если я покупаю иностранное ПО, то это уже импорт в личных целях. Так вот, если у меня будет вдруг возможность доказать что какую-то мою информацию нелегально исспользовали благодаря этой компании, то теоретически я могу подать на них заявку в суд.
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

98. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (99), 31-Авг-23, 10:33 
Ну подают иск.. эт ладно
Теория и практика далеко не всегда совместимы, хотя философия нам говорит об обратном
Так вот ресурсы и вас и у майкрасофта разные.
Сотретесь при хождении по судебным заседаням. Для вас это станет целью жизни, майрософт же не заметит этого процесса вовсе ))
Ответить | Правка | Наверх | Cообщить модератору

108. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (108), 31-Авг-23, 20:14 
Угу и что вы мне пытаетесь доказать? Задачи SELinux очень специфические, мне такие не нужны.
Ответить | Правка | Наверх | Cообщить модератору

40. Скрыто модератором  +/
Сообщение от Аноним (-), 30-Авг-23, 13:38 
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

26. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (30), 30-Авг-23, 13:04 
https://habr.com/ru/companies/kingservers/articles/209644/
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

29. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (7), 30-Авг-23, 13:12 
Ах вот оно чего! Если доступ к файлу не санкционированный процесс делает - то можно запретить такой доступ и написать лог. Идея интересная конечно, действительно способствует безопасности.
Ответить | Правка | Наверх | Cообщить модератору

69. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +2 +/
Сообщение от Аноним (69), 30-Авг-23, 17:29 
Мандатная модель доступа к ресурсам. Очень нравится военным. В наших спец-дистрибутивах тоже присутствует и имеет средства графического управления. Ваш КО.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

96. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (99), 31-Авг-23, 10:27 
Что за средство графического управления, то бищь гуй?
как называется?
Ответить | Правка | Наверх | Cообщить модератору

84. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (82), 30-Авг-23, 23:15 
Ну расскажи как чмодом ты сделаешь пермишн вроде "пользователям из этой группы в каталоге ничего писать и читать нельзя, остальным можно"
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

105. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (103), 31-Авг-23, 16:41 
# useradd -r secret
# install -dm2770 /secrets
# chown -R secret:secret /secrets
# for user in etomu_mozhno{0..9}; do useradd -aG secret "$user"; done
Ответить | Правка | Наверх | Cообщить модератору

104. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (103), 31-Авг-23, 16:31 
Что такое SELinux?
Это как AppArmor, но только SELinux.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

27. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от Аноним (28), 30-Авг-23, 13:05 
Соответствующий патч предложен АНБ, надо подразумевать?
Ответить | Правка | Наверх | Cообщить модератору

52. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (53), 30-Авг-23, 15:03 
Тут и без этого попадались адепты непричастности АНБ к селинуксу.
Ответить | Правка | Наверх | Cообщить модератору

42. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +2 +/
Сообщение от Аноним (42), 30-Авг-23, 13:44 
Свидетельство канарейки.
Ответить | Правка | Наверх | Cообщить модератору

46. Скрыто модератором  +/
Сообщение от Аноним (46), 30-Авг-23, 14:05 
Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором  +/
Сообщение от Аноним (18), 30-Авг-23, 14:09 
Ответить | Правка | Наверх | Cообщить модератору

48. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –1 +/
Сообщение от Анонимщик (?), 30-Авг-23, 14:13 
видишь суслика?
Ответить | Правка | Наверх | Cообщить модератору

63. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (63), 30-Авг-23, 16:15 
Идиотизм. Код надо проверять независимо от места, из которого он получен. АНБ будто не может внедрить в код закладки, использовав подставную личину записного криптоанархиста. До боротьбы с NIST как скоро дойдет?
Ответить | Правка | Наверх | Cообщить модератору

71. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от по (?), 30-Авг-23, 17:35 
от кого попало не примут патч, а если и примут, то проверят.

зачем вообще им закладки, им проще трафик кого надо, завернуть куда надо, и дать ему персональный пакет с "дополнительным" функционалом, и не надо никаких агентов и непоняток, dpi и так стоит где надо.

Ответить | Правка | Наверх | Cообщить модератору

77. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +1 +/
Сообщение от Аноним (77), 30-Авг-23, 20:55 
> от кого попало не примут патч, а если и примут, то проверят.

Как патчи от Минесотовцев, проверили, когда часть уже "протухла"?

Ответить | Правка | Наверх | Cообщить модератору

70. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Пряник (?), 30-Авг-23, 17:34 
Слабо тянет на новость. Либо что-то важное не упомянули.
Ответить | Правка | Наверх | Cообщить модератору

72. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Неуклюжий танцор (?), 30-Авг-23, 17:50 
Интересно, что по этому поводу думает товарищ майор?
Ответить | Правка | Наверх | Cообщить модератору

73. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +2 +/
Сообщение от Аноним (73), 30-Авг-23, 18:05 
Товарищ майор не умеет думать самостоятельно. У него в спец. дистрибутиве по умолчанию SELinux уже работает.
Ответить | Правка | Наверх | Cообщить модератору

86. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Анонимщик (?), 30-Авг-23, 23:25 
ну дак, за 20 лет ничего не нашли, значит все ок, уже можно
Ответить | Правка | Наверх | Cообщить модератору

89. Скрыто модератором  +/
Сообщение от Аноним (-), 31-Авг-23, 06:58 
Ответить | Правка | Наверх | Cообщить модератору

85. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Анонимус тот самый (?), 30-Авг-23, 23:17 
Упоминания нет, а связь есть
Ответить | Правка | Наверх | Cообщить модератору

92. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –1 +/
Сообщение от Аноним (92), 31-Авг-23, 07:46 
Закоммитил кста чел у которого в linkedin стоит National Security Agency (NSA) (то что в совке анб обозвали)
PS капец зачнм я это форсить начал в англ среде, что мол у вас NSA в ядре, они теперь удалили буковки ахахха
Ответить | Правка | Наверх | Cообщить модератору

95. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аномним (?), 31-Авг-23, 10:21 
теперь никто не догадаеца
Ответить | Правка | Наверх | Cообщить модератору

110. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (110), 01-Сен-23, 08:09 
Я правильно понимаю, что линуксоиды которые агитируют ставить Линукс это агенты АНБ?
Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору

115. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аномним (?), 01-Сен-23, 11:27 
есть немного
Ответить | Правка | Наверх | Cообщить модератору

111. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (110), 01-Сен-23, 08:15 
Есть ли SElinux в FreeBSD?
Лучше ли FreeBSD чем Linux.
Ответить | Правка | Наверх | Cообщить модератору

116. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Celcion (ok), 02-Сен-23, 02:34 
> Вопреки спекуляциям о возможном внесении закладок, реализация SELinux была многократно проверена и подвергнута независимому аудиту

Нет, ну это, конечно же, сразу всё меняет. Очевидно же, что АНБ просто по доброте душевной решили помочь обезопасить линукс. Такие вот добрые самаритяне, сидящие в главном разведовательном ведомстве США. А упоминание про себя попросили убрать просто от безмерной скромности.

Всё так и есть, а кто засомневается - тот против свободы, демократии и всяких там меньшинств!

Ответить | Правка | Наверх | Cообщить модератору

119. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (119), 02-Сен-23, 10:19 
Проверяй, но доверяй.
Ответить | Правка | Наверх | Cообщить модератору

120. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (120), 02-Сен-23, 17:13 
У вас нет такой разработки - и не будет! Инженеров нет и не будет и это главное. Дети сразу не могут стать инженерами если их опикать и сувать на прибыльные должности. Нужнен талант и хотеть - этому не учат.
Ответить | Правка | Наверх | Cообщить модератору

121. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (120), 02-Сен-23, 17:16 
Сделать нормальную запрплату для дворников - чтобы в инженеры не сувались кто попало! - Так было в Советском Союзе!
Ответить | Правка | Наверх | Cообщить модератору

122. "В ядре Linux убрали упоминание связи SELinux с АНБ"  –1 +/
Сообщение от Аноним (120), 02-Сен-23, 17:27 
Или легкий заработок с помощью иностранной рабочий силы? Ну тогда забудъте об инженерах, ха)))
Ответить | Правка | Наверх | Cообщить модератору

124. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (124), 03-Сен-23, 02:44 
Вы про индусов? Это не самые глупые люди к вашему сведению. Они могут программировать по разному и порой получше многих других людей. Среди них очень много людей в топ-менеджменте.
Ответить | Правка | Наверх | Cообщить модератору

123. "В ядре Linux убрали упоминание связи SELinux с АНБ"  +/
Сообщение от Аноним (124), 03-Сен-23, 02:40 
Ну зачем вы так? Высокие зарплаты в IT установил запад, а более конкретно - СГА. Весь вопрос в том, почему человек работает на запад, пользуется разницей валюты и его зароботок не подлежит урегулированию со стороны государства? По факту это экспорт интеллектуального труда. И вот так получилось что очень долгое время из-за советского законодательства вот такие торговые отношения в целом были незаконными, т.к. предполагалась торговля готовыми продуктами производства. Тем не менее, не знаю как у вас, но у нас только лет 10-15 назад всё это узаконили, хоть и до этого были IT компании, в которых инженеры продавали именно интеллектуальный труд.
Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру