
<div dir="ltr"><div>> selinux хорошо для "compliance". типа у вас какое-то госучреждение или типа того, есть политика безопасности, регулярный аудит, и есть "соответствие требованиям" в<br>


виде включенной галочки selinux<br></div><div>т.е. если ломанут ком-кий проект и уведут у вас базу данных, это нормально? :) SELinux включают не для галочки, и да конечно же он не гарантирует 100% безопасности в случае взлома, но он гарантирует, что взломщикам будет на порядок сложнее получить необходимый результат<br></div><div><br>> а во всех нормальных случаях - selinux просто мешает жить<br></div>вы не любите кошек? Да вы просто не умеете их готовить!<br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-02-03 4:53 GMT+02:00 Илья Шипицин <span dir="ltr"><<a href="mailto:chipitsine@gmail.com" target="_blank">chipitsine@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">если вы специально делаете так, что у вас промышленные сервера и<br>


тестовые настроены по-разному - да, у вас проблема.<br>


<br>


2 февраля 2015 г., 18:10 пользователь Eugene Peregudov<br>


<<a href="mailto:eugene.peregudov@gmail.com">eugene.peregudov@gmail.com</a>> написал:<br>


<div class="HOEnZb"><div class="h5">> Коллега Juriy Strashnov опередил :)<br>


><br>


> В любой непонятной ситуации - смотрите логи, там все есть. Ни одно<br>


> запрещающее действие SELinux не пройдет мимо audit.log, также можно<br>


> поставить setroubleshoot-server, который будет писать все происходящее в<br>


> messages.<br>


><br>


> Offtop :Почему я за то, чтобы не выключать селинукс даже на девелоперских<br>


> машинах:<br>


><br>


> Лучше пусть селинукс "бъёт по рукам" во время разработки, в таком случае<br>


> вырабатывается набор разрешающих правил еще на машине разработчика. На этом<br>


> этапе уже становится ясно в деталях какие дополнительные разрешения (с<br>


> поправкой на пути) необходимо применить администратору при деплое<br>


> приложения.<br>


><br>


> Напротив, если разработка ведется без включенного селинукс, после деплоя<br>


> начинается многократный рефрен:<br>


> "ошибка полномочий -> греп логов -> расшифровка сообщений селинукс -><br>


> написание правил\установка правильных меток"<br>


> Причем, делать это приходится администратору порой без знания матчасти<br>


> самого приложения, что добавляет трудностей.<br>


><br>


> Juriy Strashnov <<a href="mailto:juriy.foboss@gmail.com">juriy.foboss@gmail.com</a>> писал(а) в своём письме Mon, 02 Feb<br>


> 2015 18:24:39 +0600:<br>


><br>


> SELinux умеет объяснять, что делает. Однако получение этой информации<br>


> требует некоторых усилий. Например для вышеописанного случая с блокировкой<br>


> SSH диагностику можно провести так:<br>


><br>


> grep sshd  /var/log/audit/audit.log | audit2why<br>


><br>


> Получим сообщение:<br>


><br>


> type=AVC msg=audit(1382808690.186:75768): avc: denied { read } for pid=26463<br>


> comm="sshd" name="authorized_keys2" dev=dm-0 ino=1441809<br>


> scontext=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023<br>


> tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file<br>


><br>


> 2015-02-02 14:33 GMT+03:00 denis <<a href="mailto:denis@webmaster.spb.ru">denis@webmaster.spb.ru</a>>:<br>


>><br>


>> 28.01.2015 10:26, Eugene Peregudov пишет:<br>


>>><br>


>>><br>


>>> ИМХО, очень зря решается выключением. В первую очередь разработчик<br>


>>> приложения и мэйнтейнер должны знать и предоставить информацию о том, какие<br>


>>> разрешения необходимы приложению для корректного выполнения, а в идеале еще<br>


>>> и написать policy-файл.<br>


>>><br>


>>> Каждый раз когда кто-то выключает SELinux где-то плачет Dan Walsh<br>


>>> (<a href="http://stopdisablingselinux.com/" target="_blank">http://stopdisablingselinux.com/</a>)<br>


>>><br>


>> До тех пор, пока оно будет включено по умолчанию - все инструкции будут<br>


>> начинаться с "выключите selinux", потому что обычно настройка делается так -<br>


>> селинух выкл или в permissive, нормальная настройка всего что запускаем и<br>


>> разворачиваем, а потом уже смотрим по результату, какие права нужны.<br>


>> Плюс, пока нет чётких ошибок "selinux: на файле XXX нет прав на YYY",<br>


>> первым шагом диагностики всегда будет его отключение. Это как при сетевой<br>


>> мистике обычно первый шаг - отключить фаервол. Это неправильно, но сразу<br>


>> становится понятно, кто виноват.<br>


>> До кучи - рабочим и тестовым машинам selinux больше мешает чем помогает, и<br>


>> там выключить совсем - нормальное действие.<br>


>><br>


>> Из самого банального: ssh, авторизация по ключам, .ssh создан, права 0700,<br>


>> authorized_keys создан, права 0600, все владельцы правильные. Ключ не<br>


>> принимало, пока не выключили selinux (!). В логах ничего про то, что<br>


>> выполнена блокировка селинухом. Итог: я тоже приучился первым делом<br>


>> выключать это зло, пока оно не научится само и внятно говорить, что не так.<br>


>><br>


>><br>


>> _______________________________________________<br>


>> nginx-ru mailing list<br>


>> <a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>


>> <a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>


><br>


><br>


><br>


><br>


> --<br>


> Best regards, Juriy Strashnov<br>


><br>


> Mob. <a href="tel:%2B7%20%28953%29%20742-1550" value="+79537421550">+7 (953) 742-1550</a><br>


> E-mail: <a href="mailto:j.strashnov@me.com">j.strashnov@me.com</a><br>


><br>


> Please consider the environment before printing this email.<br>


><br>


><br>


><br>


><br>


> --<br>


> With best regards, Eugene JONIK Peregudov<br>


> mailto: <a href="mailto:eugene.peregudov@gmail.com">eugene.peregudov@gmail.com</a><br>


><br>


> _______________________________________________<br>


> nginx-ru mailing list<br>


> <a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>


> <a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a><br>


_______________________________________________<br>


nginx-ru mailing list<br>


<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>


<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div>