| |
| 2.2, плохо (?), 22:11, 04/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
да тока вайн откалывается и плагины к фф типа foxmarks просто не работают
| | |
| |
| 3.3, Funt (?), 22:14, 04/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
 возможно для них стоит отключить selinux или правила подредактировать
| | |
| 3.4, анон (?), 22:24, 04/06/2011 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>да тока вайн откалывается и плагины к фф типа foxmarks просто не работают
Всё правильно, вредоносный код блокируется :)
| | |
| |
| 4.7, Аноним (-), 23:24, 04/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен в настройке, а вот все боевые эксплойты его зато отключают в два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем эскалацию прав есть вырубка SELinux первым делом.
| | |
| |
| |
| |
| 7.10, анон (?), 03:43, 05/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ну и что ты в селинуксе сделаешь от рута, если контекст от простого пользователя остался?
| | |
|
|
| 5.11, анон (?), 03:46, 05/06/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен
> в настройке, а вот все боевые эксплойты его зато отключают в
> два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем
> эскалацию прав есть вырубка SELinux первым делом.
Миф, активно распространяемый индусами из grsecurity. На самом деле, чтобы отрубить selinux, нужно уничтожить практически все механизмы защиты ядра. За всю историю линакса это удалось сделать всего один раз, с использованием рутовой дыры в pulseaudio и грубейшей ошибки в ядерном модуле tun. И то лишь за счёт того, что pulseaudio не было прикрыто selinuxом.
| | |
| |
| 6.15, pavlinux (ok), 14:20, 05/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
 >> Проблема только в том что сам SELinux тоже вредоносный код: очень геморроен
>> в настройке, а вот все боевые эксплойты его зато отключают в
>> два счета. Куда ни ткни, в любом уважающем себя эксплойте позволяющем
>> эскалацию прав есть вырубка SELinux первым делом.
> Миф, активно распространяемый индусами из grsecurity. На самом деле, чтобы отрубить selinux,
> нужно уничтожить практически все механизмы защиты ядра.
# echo 0 > /selinux/enforce
# newrole -r sysadm_r
Я уничтожЫл все механизьмы заshitы ядра?
| | |
| |
| 7.17, анон (?), 15:12, 05/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
# echo 0 > /selinux/enforce
echo: write error: read-only file system
>Я уничтожЫл все механизьмы заshitы ядра?
Ты фигню какую-то написал.
| | |
|
| 6.25, segoon (ok), 18:32, 09/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Для отключения SELinux достаточно arbitrary write bug, который можно было бы спровоцировать из-под ограниченного домена. Что такое "практически все механизмы ядра"?
Не путайте "удалось сделать" и "было продемонстрировано в public exploit'е". За прошлый год был присвоен CVE более чем сотне багов (а обнаружено и того больше), на каждую уязвимость писать эксплоит - увольте :)
| | |
|
|
|
|
|
| 1.5, Аноним (-), 23:17, 04/06/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
смешное сравнение.
какой было смысл мерять на числодробилках - если в них не выполняется не одной функции которая подлежит контролю?
Зато на тех операциях где есть контроль все показывает хорошо - 10% замедления.
| | |
| 1.6, Аноним (-), 23:22, 04/06/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> В тесте Apache Benchmark отставание в производительности достигает 10%, а в
> тесте PostMark - 5%. В тестах связанных с интенсивными вычислениями, например,
> 7-Zip, x264 или LAME MP3, замедление при использовании SELinux практически не
> проявляется.
Капитан Очевидность ушел работать в Фороникс? Вроде бы логично что при просто вычислениях SELinux не у дел, а вот при отдаче статики или postmark при работе с файловой системой SELinux и выдает свою сущность.
| | |
| |
| 2.21, umbr (ok), 23:27, 05/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
 >при отдаче статики или postmark при работе с файловой системой...
Кэширование же...
| | |
|
| 1.13, ПолныйАнонимус (?), 12:59, 05/06/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если все такие умные, то расскажите какая технология позволит иметь сопоставимый уровень защищённости при меньшем оверхеде?
| | |
| |
| 2.16, pavlinux (ok), 14:24, 05/06/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Если все такие умные, то расскажите какая технология позволит иметь сопоставимый уровень
> защищённости при меньшем оверхеде?
KVM/XEN/VB
| | |
|
| 1.23, DmA (??), 08:40, 06/06/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В федоре не все сервисы и проги защищены механизами selinux! за счёт этого малая потеря производительности. Раз. Два -по умолчанию политика selinux :target. То есть тоже не все обрабатываются вызовы. То есть в принципе как рассчитывали при создании селинукс должно уходить 10-20 % производительности. В сильно защищёной системе может уходить на системы защиты до 90 % ресурсов.
| | |
|
